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内 容 提 要 


本 书 是 配套 华为 HCNP-R&S 的 学 习 指 导 用 书 ， 全 书 共 包 含 14 章 ， 内 容 包 括 路 由 基础 、RIP、OSPF、 
IS-IS、 路 由 重 分 发 、 路 由 策略 与 PBR、BGP、 以 太 网 交换 、 以 太 网 安全 、STP、VRRP、 组 播 、MPLS 与 
MPLS VPN、 附 录 : 习题 答案 。 

通过 学 习 本 书 ， 读 者 不 仅 能 够 熟悉 HCNP-R&S 中 的 知识 要 点 ， 更 加 能 将 理论 与 实际 相 结 合 ， 做 到 知 
其 然而 又 知 其 所 以 然 。 全 书 内 容 丰 富 ， 书 中 的 每 一 章 不 仅 介 绍 了 理论 知识 的 详细 内 容 ， 还 穿插 了 丰 定 的 案 
例 ， 让 读者 能 够 快速 掌握 相关 技术 或 协议 在 实际 网 络 中 应 用 。 
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云 计算 、 大 数据 、 物 联网 等 ICT 技术 的 风起云涌 ， 推 动 着 ICT 产业 跨越 式 发 展 。 数 
字 化 日 益 成 为 全 球 经 济 发 展 的 新 动能 ，ICT 从 过 去 以 提高 效率 为 主 的 支撑 系统 向 驱动 价 
值 创造 的 生产 系统 转变 ， 成 为 企业 业务 发 展 的 引擎 和 核心 竞争 力 。 数 字 化 重 构成 为 企业 
维持 生产 和 经 营 、 实 现 商 业 成 功 的 必由之路 。 

应 对 数字 化 转型 , 企业 面临 最 大 的 挑战 是 缺乏 新 型 的 优秀 ICT 技术 人 才 。 华 为 预测 ， 
未 来 $ 年 ， 华 为 所 领导 的 全 球 ICT 产业 生态 系统 对 人 才 的 需求 将 超过 80 万 。 与 此 同时 ， 
企业 对 人 才 的 需求 结构 也 将 发 生 新 的 改变 ， 从 单一 技术 能 力 到 融合 型 技术 能 力 ; 从 技能 
精通 到 复合 创新 ， 从 静态 学 习 到 动态 成 长 。 社 会 对 ICT 岗位 需求 的 快速 变化 ， 促 使 我 们 
每 一 个 人 为 能 力 提升 和 职业 转型 做 好 准备 。 华 为 以 构建 良性 ICT 人 才 生 态 链 为 己任 ， 注 
重 对 ICT 人 才 的 培养 ， 积 极 完成 新 技术 趋势 下 的 能 力 储备 ， 不 断 在 全 球 范围 内 推出 适应 
技术 趋势 和 企业 需求 的 认证 产品 ， 同 时 通过 一 系列 创新 和 实践 ， 例 如 华为 人 才 联 盟 ， 促 
进 ICT 生态 系统 中 人 才 的 可 持续 流动 。 

教材 是 构建 ICT 良性 人 才 生 态 的 核心 ， 在 教材 开发 方面 ， 华 为 持续 大 力 投 入 ， 与 院 
校 教 师 、 行 业 专家 等 联合 编写 ICT 系列 教材 ， 希 望 能 为 读者 提供 学 习 精 品 ， 助 力 读者 快 
速 完成 知识 积累 和 技能 提升 。 

“不 积 四 步 ， 无 以 至 千里 。” 想 开启 ICT 领域 大 门 ， 就 要 从 所 有 网 络 应 用 的 基础 
路 由 交换 网 络 开始 。 此 次 出 版 的 《HCNP 路 由 交换 学 习 指南 》 一 书 痔 述 了 网 络 高 级 知识 
和 技能 原理 ， 是 已 出 版 的 《HCNP 路 由 交换 实验 指南 》 一 书 的 姊妹 篇 。 本 书 的 内 容 架 构 
很 好 地 吻合 了 《HCNP 路 由 交换 实验 指南 》 一 书 中 的 实验 内 容 ， 又 恰当 地 匹配 了 
HCNP-R&S 认证 的 核心 知识 点 。 无 论 是 技术 质量 水 平 , 还 是 语言 描述 , 本 书 都 堪 称 精品 : 
原理 描述 清晰 而 精准 ， 所 举 示例 形象 而 精妙 ， 由 浅 入 深 地 引导 读者 建立 起 对 路 由 交换 系 
统 全 面 而 清晰 的 认识 ， 同 时 有 效 地 帮助 读者 掌握 好 HCNP-R&S 认证 考试 中 的 知识 要 点 。 

最 后 ， 祝 愿 读 者 朋友 们 在 ICT 行业 大 展 鹏 程 ， 实 现 梦 想 ， 创 造 美 好 未 来 ! 
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特别 声明 


本 书 旨 在 帮助 读者 学 习 并 理解 HCNP-R&S 中 的 知识 要 点 及 难点 。 需 特别 强调 的 是 ， 
HCNP-R&S 认证 包括 但 不 限于 : 网 络 基 础 知识 ， 华 为 路 由 器 与 交换 机 产品 知识 ，TCP/IP 
协议 簇 ， 路 由 协议 , 访问 控制 ，eSight、Agile Controller 产品 介绍 , SDN、VXLAN、 NFV 
的 基础 知识 ，QoS， 网 络 安全 的 基础 知识 ， 以 及 PDIOI 等 ， 对 于 希望 考取 HCNP-R&S 
的 读者 ， 除 了 需 掌 握 本 书 所 涵盖 的 内 容 ， 还 应 该 对 其 他 知识 点 有 一 个 基本 的 了 解 。 


本 书 内 容 组 织 


本 书 共计 14 章 ， 其 中 第 1 章 介 绍 了 IP 路 由 基础 ; 第 2 章 至 第 4 章 分 别 介绍 了 3 个 
第 用 的 IGP 协议 : RIF、OSPF 以 及 IS-IS; 第 5 章 及 第 6 章 介 绍 了 路 由 的 进 阶 内 容 : 路 
由 重 分 发 、 路 由 策略 以 及 PBR; 第 7 章 介 绍 了 BGP 协议 ; 第 8 章 至 第 10 章 介 绍 的 是 以 
太 网 的 相关 技术 ; 第 11 章 介 绍 的 是 用 于 实现 网 络 高 可 靠 性 的 VRRP 协议 ; 第 12 章 介 绍 
的 是 耳 组 播 ; 第 13 章 介 绍 的 是 MPLS 与 MPLS VPN 技术 ; 第 14 章 为 附录 ， 该 章 收 录 
的 是 本 书 所 有 习题 的 答案 。 

第 1 章 路 由 技术 

路 由 是 数据 网 络 中 非常 重要 有 目 基 础 的 一 个 知识 模块 。 本 章 首 先 介绍 了 关于 路 由 的 一 些 
基本 概念 ， 包括 路 由 表 、 路 由 优先 级 以 及 度量 值 等 ， 然 后 重点 讲解 了 静态 路 由 的 配置 ， 以 及 
一 些 部 蜀 时 和 需 注 意 的 事项 。 此 外 ， 本 章 还 详细 地 介绍 了 路 由 查询 中 的 最 长 前 级 匹配 原则 、 路 
由 汇总 、 黑 洞 路 由 以 及 路 由 表 与 FIB 表 的 关系 。 本 章 也 为 后 续 的 内 容 做 了 很 好 的 铺垫 。 

第 2 章 RIP 

RIP 是 典型 的 距离 矢量 路 由 协议 ， 也 是 最 先 得 到 广泛 使 用 的 IGP 协议 ， 其 工作 机 制 相 
对 人 简单， 因此 一 直 以 来 都 作为 数 通 领域 入 门 动态 路 由 技术 的 协议 。 本 章 首先 介绍 了 RIP 的 
基本 概念 ,例如 RIP 路 由 的 更 新 机 制 、RIP 路 由 的 度量 值 等 ， 随 后 重点 讲解 了 RIP 的 防 环 机 
制 和 RIPV2 的 相关 协议 特性 。 最 后 ， 本 章 介绍 了 RIPv2 在 华为 数 通 产品 上 的 配置 及 实现 。 

第 3 章 OSPF 

OSPF 是 当前 业界 使 用 得 最 为 广泛 的 IGP 协议 之 一 ， 深 入 学 习 OSPF 的 工作 机 制 及 
相关 原理 是 非常 有 必要 的 。 本 章 系 统 地 讲解 了 OSPF 的 一 些 基 本 概念 ， 例 如 Router-ID、 
LSDB、 虐 量 值 、 网 络 类 型 、DR/BDR、 区 域 以 及 路 由 器 角色 等 。LSA 是 OSPF 中 非常 核 
心 的 知识 点 ， 在 HCNP-R&S 中 ， 我 们 要 求 大 家 必须 掌握 常见 的 LSA 类 型 ， 本 章 通 过 一 
个 OSPF 网 络 示 例 ， 将 这 些 不 同 的 LSA 类 型 进行 串讲 ， 使 得 读者 能 够 从 宏观 及 微观 两 个 
层面 来 理解 LSA。 此 外 ， 关 于 OSPF 的 几 种 特殊 区 域 ， 本 章 也 做 了 详细 介绍 。 本 章 还 介 
绍 了 OSPF 的 一 些 重要 的 协议 特性 ， 包 括 路 由 汇总 、Virtual Link、 默 认 路 由 通告 、 报 文 
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认证 、 转 发 地 址 、 防 环 机 制 以 及 路 由 类 型 。 

第 4 章 IS-IS 

与 OSPF 类 似 ，IS-IS 也 是 典型 的 链 路 状态 路 由 协议 ， 在 服务 提供 商 网 络 中 ，IS-IS 有 大 
广泛 的 应 用 。 本 章 首先 介绍 了 与 IS-IS 相关 的 几 个 常见 的 术语 ， 然 后 系统 地 讲解 了 IS-IS 的 
相关 概念 和 协议 特性 ， 最 后 通过 几 个 案例 帮助 大 家 掌握 IS-IS 在 华为 数 通 产品 上 的 基本 配置 。 

第 5 章 路 由 重 分 发 

在 现实 中 ， 同 一 个 网 络 中 同时 存在 两 种 以 上 的 路 由 协议 的 情况 是 非常 常见 的 ， 此 时 
路 由 重 分 发 便 有 可 能 被 用 于 实现 路 由 信息 在 不 同 的 路 由 协议 之 间 的 互 操作 。 本 章 首 先 介 
绍 了 路 由 重 分 发 的 概念 以 及 部 署 要 点 ， 然 后 通过 3 个 典型 的 案例 ， 分 别 介 绍 路 由 重 分 发 
的 3 个 主要 的 应 用 场景 。 

第 6 章 路 由 策略 与 PBR 

路 由 策略 是 一 套用 于 对 路 由 信息 进行 过 滤 、 属 性 设置 等 操作 的 方法 ， 通 过 对 路 由 的 
控制 ， 可 以 影响 数据 流量 转发 操作 ， 而 PBR (策略 路 由 ) 指 的 是 基于 策略 的 路 由 ， 初 学 
者 很 容易 对 这 两 个 概念 产生 混淆 。 本 章 为 读者 分 别 介 绍 路 由 策略 与 PBR。 其 中 ， 关 于 路 
由 策略 这 一 知识 模块 ,本章 介绍 了 3 个 重要 的 工具 ,它们 分 别 是 Route-Policy、Filter-Policy 
以 及 IP 前 级 列表 。 

第 7 章 BGP 

BGP 几乎 是 当前 唯一 被 用 于 在 不 同 AS 之 间 实 现 路 由 交互 的 EGP 协议 。BGP 适用 
于 大 型 的 网 络 环境 ， 例 如 运营 商 网 络 ， 或 者 大 型 企业 网 等 。 在 HCNP-R&S 中 ，BGP 是 
非常 重要 的 一 个 知识 模块 ， 也 是 一 个 知识 难点 。 本 章 首 先 介 绍 了 BGP 的 基本 概念 ， 其 中 
包括 BGP 对 等 体 类 型 、IBGP 水 平分 割 规则 、BGP 同步 规则 、BGP 路 由 通告 原则 、BGP 
Router-ID、BGP 路 由 表 ， 以 及 BGP 路 由 发 布 等 ， 这 些 内 容 将 帮助 读者 初步 了 解 BGP， 
也 为 本 章 后 续 的 小 节 进 行 铺 垫 ,随后 , 本 章 厦 重 介 绍 了 BGP 中 非常 重要 的 一 个 知识 模块 : 
路 径 属 性 。 本 章 将 常用 的 BGP 路 径 属 性 逐一 进行 介绍 。 接 下 来 ， 本 章 通 过 一 系列 案例 帮 
助 大 家 掌握 BGP 在 华为 数 通 产品 上 的 配置 及 实现 。 对 于 BGP 的 两 个 高 级 知识 点 : 路 由 
反射 器 及 联邦 ， 本 章 也 安排 了 专门 的 小 节 进 行 介 绍 。 最 后 ， 本 章 介 绍 了 BGP 中 另 一 个 非 
常 重要 的 知识 模块 ，BGP 路 由 优选 规则 。 

第 8 章 以 太 网 交换 

随 着 行业 的 发 展 及 技术 演进 ， 以 太 网 逐渐 占据 了 局 域 网 技术 的 主导 地 位 ， 现 如 今 我 
们 所 见 到 的 局 域 网 几乎 都 是 采用 以 太 网 技术 实现 的 ， 因 此 掌握 以 太 网 交换 技术 是 非常 有 
必要 的 。 本 章 首 先 介 绍 了 二 层 交 换 的 基本 原理 ， 以 及 VLAN 的 相关 概念 及 其 配置 ， 然 后 
介绍 了 实现 VLAN 之 间 通 信 的 儿 种 方法 。 接 看 ， 本 章 还 对 交换 技术 中 的 MUX VLAN 及 
VLAN 聚合 做 了 介绍 。 最 后 ， 本 章 讲 解 了 层次 化 的 园区 网 络 架 构 ， 系 统 地 介绍 了 典型 园 
区 网 中 的 各 个 模块 。 

第 9 章 以 太 网 安全 、 

本 章 介 绍 了 以 太 网 中 的 几 个 安全 概念 ,以 及 常用 的 几 个 技术 , 其 中 包括 交换 机 MAC 
地 址 表 管 理 、 接 口 安 全 、MAC 地 址 漂移 以 及 DHCP Snooping。 

第 10 章 STP 

对 于 任何 一 个 商用 网 络 来 说 ， 见 余 性 几乎 都 是 一 个 必须 考虑 的 问题 ， 生 成 树 技术 是 一 
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前 3 
种 用 于 在 交换 网 络 中 解决 二 层 环 路 问题 ， 同 时 确保 网 络 元 余 性 的 技术 。 本 章 分 别 对 生成 树 中 
的 STP、RSTP 以 及 MSTP 进行 了 介绍 。 随 看 园区 网 络 的 发 展 ， 生 成 树 技术 已 经 逐渐 无 法 适 
应 新 的 需求 ， 它 们 的 短 板 也 逐渐 显现 ， 本 章 的 最 后 部 分 介绍 了 用 于 替代 生成 树 的 几 种 方案 。 

第 11 章 VRRP z 

可 靠 性 是 衡量 一 个 网 络 健壮 程度 的 重要 指标 ，VRRP 使 得 多 台 同 属 一 个 广播 域 的 网 
络 设备 能 够 协同 工作 ， 实 现 设备 风 余 ， 并 提高 网 络 的 可 靠 性 。 本 章 对 VRRP 的 基本 概念 
及 工作 机 制 进行 了 详细 介绍 ， 此 外 还 通过 几 个 案例 介绍 了 VRRP 的 几 种 主要 应 用 场景 ， 
其 中 “VRRP+MSTP 典型 组 网 方案 ”承接 了 本 书 前 面 章节 中 的 相关 内 容 ， 为 读者 介绍 J 
园区 网 络 中 的 一 个 重要 的 组 网 方案 。 

第 12 章 组 播 

组 播 是 一 种 一 对 多 的 通信 方式 ， 在 多 媒体 直播 、 培 训 、 线 上 会 议 以 及 金融 证 券 等 领 
域 有 着 广泛 的 应 用 。 组 播 是 HCNP-R&S 中 的 男 一 个 知识 难点 。 本章 首先 介绍 了 组 播 网 络 
的 架构 ， 以 及 组 播 地址 、 组 播 MAC 地 址 等 概念 ， 让 读者 对 组 播 网 络 先 有 一 个 基本 的 
认 知 。 然 后 ， 本 章 介 绍 了 IGMP 协议 ， 以 及 业界 使 用 得 最 为 广泛 的 组 播 路 由 协议 PIM， 
本 章 通过 两 个 小 节 分 别 介绍 PIM 的 两 种 工作 模式 : PIM-DM 和 PIM-SM。 接 着 ， 本 章 介 
绍 了 RP 的 发 现 机 制 。SSM 作为 组 播 中 的 一 个 高 级 知识 点 ， 也 在 本 章 中 做 了 介绍 。 最 后 ， 
本 章 还 详细 讲解 了 IGMP Snooping。 

第 13 章 MPLS 与 MPLS VPN 

MPLS 与 MPLS VPN 是 服务 提供 商 网 络 中 的 常用 技术 , 对 于 许多 初学 者 而 言 , MPLS 
与 MPLS VPN 显得 星 梁 难 懂 ， 本 章 循 序 渐进 、 由 浅 入 深 地 介绍 了 这 些 技术 。 本 章 首 先 介 
绍 了 MPLS 与 LDP， 然 后 详细 地 讲解 了 MPLS VPN 技术 。 

第 14 章 附录: 习题 答案 

本 书 在 每 一 章 的 最 后 一 节 中 都 安排 了 相应 的 习题 ， 用 于 帮助 读者 进行 自 测 ， 也 用 于 
帮助 读者 巩固 所 学 知识 。 本 章 的 内 容 是 全 书 所 有 习题 的 答案 。 


适用 读者 对 象 


本 书 是 一 本 配套 华为 HCNP-R&S 的 学 习 指导 用 书 ， 涵 盖 了 HCNP-R&S 中 的 知识 
点 和 难点 , 非常 适合 于 学 习 和 备考 HCNP-R&S 认证 的 读者 朋友 。 对 于 网 络 行业 的 从 业 人 
员 ， 或 者 对 网 络 技术 感 兴 趣 的 读者 ， 本 书 也 是 一 本 非常 不 错 的 参考 书籍 。 为 了 达到 最 佳 
的 学 习 效 果 ， 建 议 读 者 在 学 习 本 书 之 前 先行 学 习 并 掌握 HCNA-R&S 中 的 相关 知识 点 。 


本 书 所 用 的 图 标 


图 ez>sm 
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1.1 路 由 的 基本 概念 


在 当今 社会 中 ， 计 算 机 已 经 变 成 每 一 个 人 工作 、 学 习 及 生活 中 不 可 分 割 的 一 部 分 。 
计算 机 网 络 (Computer Network) 将 世界 上 各 种 类 型 的 计算 机 以 及 其 他 终端 设备 连接 在 
了 一 起 ， 使 得 这 些 设备 能 够 协同 工作 ， 能 够 相互 通信 一 一 通信 是 现代 人 类 社会 的 基本 需 
求 。 本 书 所 讨论 的 计算 机 网 络 ， 实 际 上 是 指 IP 网 络 ， 也 称 为 TCP/IP 网 络 ， 接 入 网 络 的 
设备 也 已 经 不 仅仅 局 限于 计算 机 。 所 谓 的 IP 网 络 ， 就 是 以 TCP/IP 协议 簇 为 基础 的 通信 
网 络 。 世 界 上 最 大 的 IP 网 络 是 Internet〈 因 特 网 )， 接 入 Internet 的 设备 数量 早已 超过 了 
世界 人 口 数 量 ， 这 些 设备 可 能 是 计算 机 、 手 机 或 者 其 他 智能 设备 ， 例 如 智能 家 用 电器 或 
可 穿戴 设备 等 。 除 了 Internet 之 外 ， 全 球 各 地 还 有 大 大 小 小 不 同 的 卫 网络 ， 例 如 企业 的 
园区 网 络 ， 学 校 的 校园 网 络 ， 甚 至 每 个 家 庭 的 家 用 网 络 等 。 

正如 前 面 所 说 ， 通 信和 是 人 类 使 用 卫 网 络 的 基本 需求 ， 所 谓 通 信 ， 实 际 上 就 是 信息 
(Information) 或 数据 (Data) 的 收发 过 程 ， 因 此 IP 网 络 的 基本 功能 便 是 将 数据 从 一 个 
地 方 传输 到 男 一 个 地 方 。 在 IP 网 络 中 ， 数 据 遵循 卫 协议 所 定义 的 格式 ， 设 备 对 其 进行 
相应 的 处 理 ， 使 得 它 能 够 在 网 络 中 进行 传输 。 这 里 的 数据 简单 地 理解 ， 可 以 是 摘 述 一 段 
文字 、 一 张 图 片 、 一 个 网 页 ， 或 者 一 个 文档 等 的 一 些 信息 。 

在 数据 通信 模型 中 ， 通 信 双 方 所 交互 的 实际 数据 被 称 为 有 效 载荷 (Payload)。 在 卫 
网 络 中 ，A 主机 要 将 一 份 Payload 发 送 给 在 同一 个 IP 网 络 中 的 、 位 于 另 一 个 角落 的 B 主 
机 ， 它 显然 不 可 能 将 Payload 直接 “ 扔 ”给 B 主机 ， 该 Payload 需要 经 过 一 定 的 处 理 ， 
最 终 变 成 能 够 在 诸如 网 线 等 介质 上 传递 的 信号 。 为 了 确保 Payload 能 够 被 IP 网 络 中 的 网 
络 设备 顺利 地 从 源 转发 到 目的 地 ， 该 Payload 需要 被 “放置 ”在 一 个 “信封 ”当中 ， 并 
且 在 “信封 ”上 标明 该 Payload 的 源 地 址 及 目的 地 址 。 这 个 “信封 ”就 是 IP 头 部 ， 我 们 
将 这 个 包 计 着 Payload 的 “信封 ” 称 为 IP 报 文 (Packet)， 或 者 卫 包 。 通 常情 况 下 ，]IP 
报 文 、IP 数据 包 、IP 包 这 些 术 语 是 可 以 相互 替换 使 用 的 。 在 报 文 的 IP 头 部 中 ， 包 含 独 
多 个 字段 ， 其 中 “ 源 PP 地 址 ”及 “目的 瑟 地 址 ”字段 便 包 含 报 文 寻 址 的 关键 信息 。 源 
IP 地 址 标识 了 报 文 的 发 送 源 ， 目 的 卫 地 址 则 标识 了 报 文 所 要 到 达 的 目的 地 。 在 全 网 络 
中 ，IP 地 址 用 于 标识 一 个 设备 或 者 设备 的 某 个 网 络 接口 卡 (Network Interface Card， 
NIC)。 在 本 书 中 ， 除 非特 别 说 明 ， 否 则 IP 网 络 指 的 是 IPv4 网 络 ， 而 IP 地 址 则 指 的 是 
IPv4 地 址 。 

一 个 IP 报 文 从 源 进入 到 IP 网 络 后 ， 网 络 中 的 设备 (例如 路 由 器 、 三 层 交 换 机 及 防 
火 墙 等 ) 负责 将 其 转发 到 目的 地 。 在 报 文 的 转发 过 程 中 ,沿途 的 网 络 设备 收 到 该 报 文 后 ， 
会 根据 其 所 携带 的 目的 IP 地 址 来 判断 如 何 转发 这 个 报 文 , 最 终 将 报 文 从 恰当 的 接口 发 送 
出 去 。 这 个 过 程 被 称 为 路 由 (Routing)。 实 际 上 ， 路 由 行为 不 仅仅 发 生 在 路 由 左上 ， 三 
层 交 换 机 、 防 火 墙 、 负 载 均 衡器 甚至 主机 等 设备 均 可 执行 路 由 操作 ， 只 要 该 设备 文 持 路 
由 功能 。 路 由 技术 是 数据 通信 和 领域 中 的 一 块 基石 ， 它 在 网 络 中 扮演 看 非常 重要 的 作用 。 
学 习 完 本 节 之 后 ， 我 们 应 该 能 

® 理解 路 由 的 概念 及 其 意义 ; 
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。 理解 路 由 表 的 概 你 ， 学 会 得 看 路 由 表 ; 
。 理解 路 由 优先 级 、 上 度量 值 的 概念 及 其 意义。 


1.1.1 ”路 由 的 基本 概念 


IP 网 络 最 基本 的 功能 就 是 为 处 于 网 络 中 不 同位 置 的 设备 之 间 实 现 数据 互通 。 为 了 实 
现 这 个 功能 ， 网 络 中 的 设备 需 具备 将 IP 报 文 从 源 转发 到 目的 地 的 能 力 。 以 路 由 器 为 例 ， 
当 一 台 路 由 器 收 到 一 个 IP 报 文 时 ， 它 会 在 日 己 的 路 由 表 (Routing Table〉 中 执行 路 由 查 
询 ， 寻 找 匹 配 该 报 文 的 目的 IP 地 址 的 路 由 条 目 (或 者 说 路 由 表 项 )， 如 果 找 到 匹配 的 路 
由 条 目 , 路 由 器 便 按照 该 条 目 所 指示 的 出 接口 及 下 一 跳 IP 地 址 转发 该 报 文 ; 如 果 没 有 任 
何 路 由 条 目 匹 配 该 目的 IP 地 址 ， 则 意味 着 路 由 器 没有 相关 路 由 信息 可 用 于 指导 报 文 转 
发 ， 因 此 该 报 文 将 会 被 丢弃 ， 上 述 行为 就 是 路 由 。 





”全 贝 备 路 由 功能 的 设备 不 仅仅 有 路 由 器 ， 三 层 交换 机 、 防 火 墙 等 设备 同样 能 够 支持 
路 由 功能 ， 此 处 使 用 路 由 器 作为 典型 代表 进行 讲解 。 


如 图 1-1 所 示 ， 当 路 由 器 R1 收 到 一 个 耻 报 文 时 ， 路 由 器 会 解析 出 报 文 的 了 头 部 中 
的 目的 IP 地 址 ， 然 后 在 目 己 的 路 由 表 中 得 询 该 目的 地 址 ， 它 发 现 数据 包 的 目的 地 址 是 
192.168.20.1， 而 路 由 表 中 存在 到 达 192.168.20.0/24 的 路 由 ， 因 此 R1 根据 路 由 条 目 所 指 
示 的 出 接口 及 下 一 跳 IP 地 址 将 报 文 转 发 出 去 。 
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图 1-1 路 由 及 路 由 表 的 基本 概念 
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每 一 台 具 备 路 由 功能 的 设备 都 会 维护 路 由 表 ， 路 由 表 相 当 于 路 由 器 的 地 图 ， 得 区 于 
这 张 地 图 ,路 由 器 才能 够 正确 地 转发 IP 报 文 。 路 由 表 中 装载 着 路 由 器 通过 各 种 途径 获知 
的 路 由 条 目 ， 每 一 个 路 由 条 目 包 含 目 的 网 络 地 址 /网 络 掩 码 、 路 由 协议 (路 由 的 来 源 )、 
出 接口 、 下 一 跳 P 地 址 、 路 由 优先 级 及 度量 值 等 信息 。 路 由 表 是 每 台 支 持 路 由 功能 的 设 
备 进行 数据 转发 的 依据 和 基础 ， 是 一 个 非常 重要 的 概念 。 

值得 注意 的 是 ， 路 由 是 一 种 逐 跳 (Hop-By-Hop) 的 行为 ， 也 就 是 说 ， 数 据 从 源 被 发 
出 直至 其 到 达 目 的 地 的 过 程 中 ， 沿 途 的 每 一 台 路 由 器 都 会 执行 独立 的 路 由 查询 及 报 文 转 
发 动作 ， 因 此 人 处 于 传输 路 径 上 的 路 由 器 都 需要 拥有 到 达 目 的 网 段 的 路 由 ， 否 则 该 报 文 将 
在 中 途 被 丢弃 。 男 外 ， 数 据 通 信 往 往 是 一 个 双 回 的 过 程 ， 大 多 数 的 应 用 需要 在 通信 双方 
之 间 相 互 发 送 数 据 ， 因 此 为 了 保证 应 用 及 业务 的 正常 运行 ， 工 程 师 在 建设 网 络 时 需 充 分 
考虑 数据 的 双 癌 可 达 性 ， 也 就 是 在 往返 方向 考虑 路 由 信息 的 完整 性 和 准确 性 。 在 图 1-1 
所 示 的 例子 中 , 假设 PC1 及 PC2 使 用 R1 一 R2 一 R3 一 R4 这 条 路 径 传输 数据 , 若 要 求 PC1 
发 往 PC2 的 数据 能 够 正确 到 达 PC2， 则 需 确 保 R1、R2、R3 及 R4 都 拥有 到 达 
192.168.20.0/24 的 路 由 信息 。 同 理 ， 若 要 求 PC2 能 够 正常 地 向 PC1 发 送 数据 并 且 沿 着 相 
同 的 路 径 传输 数据 ， 则 R4、R3、R2 及 RI1 都 需 拥 有 到 达 192.168.10.0/24 的 路 由 信息 。 


1.1.2 ”路 由 表 


任何 一 台 支 持 路 由 功能 的 设备 要 想 正确 地 执行 路 由 查询 及 数据 转发 的 操作 ， 束 必须 
维护 一 张 路 由 表 。 路 由 表 可 以 理解 为 是 设备 将 报 文 转发 到 特定 目的 地 所 依据 的 一 张 “ 地 
图 ”。 在 具备 路 由 功能 的 华为 数据 通信 产品 上 符 看 路 由 表 的 命令 是 display ip routing- 
table。 图 1-2 展示 了 一 个 路 由 表 的 示例 ， 路 由 表 中 的 每 一 行 就 是 一 个 路 由 条 目 〈( 或 者 路 
由 表 项 )。 在 一 个 实际 的 网 络 中 ,路 由 器 的 路 由 表 可 能 包含 多 个 路 由 条 目 。 在 一 个 大 型 的 
网 络 中 ， 路 由 器 的 路 由 表 可 能 包含 大 量 的 路 由 条 目 。 每 个 路 由 条 目 都 采用 目的 网 络 地 址 
(Destination Network Address) 及 网 络 手 码 (Netmask) 进行 标识 。 从 路 由 表 的 输出 可 以 
看 出 ， 每 个 路 由 条 有 目 都 包括 多 个 信息 元 素 。 


<router>display ip routing-table 

Route Flags: R-relay, D-download to fib 

Roting Tables: Public 
Destinations: 9 

Destinations/Mmask 

2.2.2.0/24 

10.1.12.0/24 

10.1.12.1/32 

22.22.2222132Z 


NextHop Interface 
WW,1.022 GigabitEthernet0/0/0 
10.1.1241 GigabitEthernet0/0/0 
127.0.0.1 GigabitEthernet0/0/0 
10.1.12.2 GigabitEthernet0/0/0 


127.0.0.0/8 
127.0,0,1/32 


127.0.0.1 InLoopBack0 
127.0.0.1 InLoopBack0 


目的 网 络 地 址 协议 类 型 || 优 先 级 | | 度量 值 | | 标志 
及 掩 码 长 度 


出 接口 





图 1-2 查看 设备 的 路 由 表 
路 由 表 中 每 个 信息 元 素 的 含义 如 下 。 
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。 目的 网 络 地 址 /网 络 掩 码 (Destination Network Address/Netmask): 路 由 表 相 当 
于 路 由 器 的 地 图 ,而 每 一 条 路 由 都 指 癌 网 络 中 的 某 个 目的 网 络 (或 者 说 目的 网 段 )。 目 的 
网 络 的 网 络 地 址 (目的 网 络 地 址 ) 及 网 络 掩 码 〈 路 由 表 中 的 “Destination/Mask” 列 ) 用 
于 标识 一 条 路 由 。 以 图 1-2 所 示 的 路 由 表 为 例 ，2.2.2.0/24 就 标识 了 一 个 目的 网 络 ， 其 中 
目的 网 络 地 址 为 2.2.2.0， 掩 码 长 度 为 24 (或 者 说 网 络 掩 码 为 255.255.255.0)， 这 就 意味 
着 路 由 器 拥有 到 达 2.2.2.0/24 的 路 由 信息 。 






“玉生 所 谓 的 抢 码 长 度 指 的 是 网 络 掩 码 中 连续 的 二 进 制 “1” 的 个 数 ， 例 如 菜 条 路 由 的 
掩 码 长 度 为 30， 那 么 该 路 由 的 网 络 掩 码 是 255.255.255.252， 两 者 表达 的 意思 是 一 致 的 ， 
因此 192.168.0.0 与 255.255.255.252 等 同 于 192.168.0.0/30。 


e 路 由 协议 (Protocol): 表示 该 路 由 的 协议 类 型 ， 或 者 该 路 由 是 通过 什么 途径 学 习 
到 的 。 路 由 表 中 的 “Proto” 列 显示 了 该 信息 。 例 如 2.2.2.0/24 这 条 路 由 ,“Proto” 列 显示 
的 是 Static， 这 意味 着 这 条 路 由 是 通过 手工 的 方式 配置 的 静态 路 由 。 再 如 22.22.22.22/32 
这 条 路 由 ， 这 是 一 条 主机 路 由 (网 络 掩 码 为 255.255.255.255)， 而 这 条 路 由 的 “Proto” 
列 显 示 的 是 OSPF， 则 表明 该 条 路 由 是 通过 OSPF 这 个 路 由 协议 学 习 到 的 。“Proto” 列 如 
果 显 示 Direct 则 表明 该 条 路 由 为 直 连 路 由 ， 也 就 是 这 条 路 由 所 指 问 的 网 段 是 设备 的 直 连 
接口 所 在 的 网 段 。 

e 优先 级 (Preference): 路 由 表 中 路 由 条 目的 获取 来 源 有 多 种 ,每 种 类 型 的 路 由 对 
应 不 同 的 优先 级 ， 路 由 优先 级 的 值 越 小 则 该 路 由 的 优先 级 越 高 。 路 由 表 中 的 “Pre” 列 显 
示 了 该 条 路 由 的 优先 级 。 当 一 台 路 由 口 同时 从 多 种 不 同 的 来 源 学 习 到 去 往 同 一 个 目的 网 
段 的 路 由 时 ， 它 将 选择 优先 级 值 最 小 的 那 条 路 由 。 例 如 ， 路 由 器 A 配置 了 到 达 1.1.1.0/ 24 
的 静态 路 由 ， 该 条 静态 路 由 的 下 一 跳 为 B， 同 时 A 又 运行 了 RIP， 并 且 通 过 RIP 也 发 现 
了 到 达 1.1.1.0/24 的 路 由 ， 而 该 条 RIP 路 由 的 下 一 跳 为 C， 此 时 A 分 别 通过 静态 路 由 及 
RIP 路 由 协议 获知 了 到 达 同 一 个 目的 地 一 一 1.1.1.0/24 网 段 的 路 由 ，A 会 比较 静态 路 由 与 
RIP 路 由 的 优先 级 ， 由 于 缺 省 时 静态 路 由 的 优先 级 为 60， 而 RIP 路 由 的 优先 级 为 100， 
显然 静态 路 由 的 优先 级 值 更 小 ， 因 此 最 终 到 达 1.1.1.0/24 的 静态 路 由 被 加 载 到 路 由 表 中 
(静态 路 由 在 路 由 选择 中 胜出 )， 当 A 收 到 去 往 该 网 段 的 数据 包 时 ， 它 将 数据 包 转 发 给 下 
一 跳 B。 

。 开销 (Cost): Cost 指示 了 本 路 由 器 到 达 目 的 网 段 的 代价 值 ， 在 许多 场合 它 也 被 
称 为 度量 值 (Metric)， 度 量 值 的 大 小 会 影响 到 路 由 的 优选 。 在 华为 路 由 器 的 路 由 表 中 ， 
“Cost” 列 显示 的 就 是 该 条 路 由 的 度量 值 。 直 连 路 由 及 静态 路 由 缺 省 的 度量 值 为 0， 此 外 ， 
每 一 种 动态 路 由 协议 都 定义 了 其 路 由 的 度量 值 计算 方 法 ， 不 同 的 路 由 协议 ， 对 于 路 由 度 
量 值 的 定义 和 计算 均 有 所 不 同 。 

。 下 一 跳 (Next Hop): 该 信息 描述 的 是 路 由 器 转发 到 达 目 的 网 段 的 数据 包 所 使 用 
的 下 一 跳 地 址 。 在 图 1-2 显示 的 路 由 表 中 ，2.2.2.0/24 路 由 的 “NextHop” 列 显示 10.1.12.2， 
这 意味 着 如 果 该 路 由 器 收 到 一 个 数据 包 ， 经 过 路 由 查询 后 发 现 数据 包 的 目的 地 址 匹配 
2.2.2.0/24 这 条 路 由 ， 则 该 路 由 器 会 将 数据 包 转 发 给 10.1.12.2 这 个 下 一 跳 。 
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。 出 接口 (Interface): 指示 的 是 数据 包 被 路 由 后 离开 本 路 由 器 的 接口 。 还 是 以 
2.2.2.0/24 路 由 举例 ， 这 条 路 由 的 “Interface” 列 显示 的 是 GE0/0/0， 这 意味 着 如 果 该 路 由 
器 收 到 一 个 数据 包 且 经 过 路 由 查询 后 发 现 数据 包 的 目的 地 址 匹配 该 路 由 ， 则 该 路 由 器 会 
将 数据 包 转 发 给 10.1.12.2 这 个 下 一 跳 地 址 ， 并 从 GE0/0/0 接口 送出 。 


1.1.3 ”路 由 信息 的 来 源 

任何 一 台 支 持 路 由 功能 的 设备 都 需要 维护 路 由 表 以 便 正确 地 转发 数据 ， 在 一 个 实际 
的 网 络 中 ， 一 台 路 由 器 的 路 由 表 往往 包含 多 条 路 由 ， 这 些 路 由 可 能 从 不 同 的 来 源 获 取 。 
如 图 1-3 所 示 ， 路 由 表 中 路 由 信息 的 来 源 可 归 为 三 类 ， 分 别 是 直 连 路 由 、 静 态 路 由 及 动 
态 路 由 协议 。 路 由 表 中 “Proto” 列 显示 了 该 条 路 由 是 从 什么 来 源 获 取 到 的 。 
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路 由 条 目的 来 源 


"i 

IP 路 由 表 
Destinations/Mask Pre Cost Flags NextHop Interface 
192.168.12.0/24 0 0 D 192,168.12.,1 GigabitEthernet0/0/0 
192.168.2.0/24 60 0 D 192.168.12.2 GigabitEthernet0/0/0 
192.168.23.0/24 100 1 D 192.168.12.2 GigabitEthermet0/0/0 





图 1-3 路 由 信息 的 来 源 


路 由 器 能 够 自动 获取 本 设备 直 连 接口 的 路 由 并 将 路 由 写 入 路 由 表 ， 该 种 路 由 被 称 为 
直 连 路 由 (Direct Route)， 直 连 路 由 的 目的 网 络 一 定 是 路 由 器 目 身 某 个 接口 所 在 的 网 络 。 
直 连 路 由 的 发 现 是 路 由 器 自动 完成 的 ， 无 需 人 为 干预 。 在 图 1-4 所 示 的 网 络 中 ， 当 我 们 
完成 三 台 路 由 器 的 接口 卫 地 址 配置 并 激活 接口 后 ， 路 由 器 将 目 动 发 现 直 连接 口 的 路 由 。 
以 R2 为 例 ， 由 于 GE0/0/0 接口 配置 了 IP 地 址 192.168.12.2/24， 它 能 够 根据 这 个 PP 地 址 
及 网 络 掩 码 判断 出 该 接口 处 于 192.168.12.0/24 网 段 ， 于 是 它 在 路 由 表 中 创建 一 条 直 连 路 
由 ， 路 由 的 目的 网 络 地 址 及 掩 码 长 度 为 192.168.12.0/24， 由 于 该 条 路 由 为 直 连 路 由 ， 
此 协议 类 型 为 Direct。 另外 路 由 优先 级 为 0( 直 连 路 由 的 优先 级 最 高 )， 度量 值 也 为 0( 直 
连 网 络 就 在 “家 门口 ” 因此 度量 值 为 0)， 出 接口 为 GE0/0/0， 下 一 跳 IP 地 址 为 其 自身 
接口 的 卫 地址 192.168.12.2。 同 理 ，R2 还 会 发 现 192.168.23.0/24 这 条 直 连 路 由 。 


GEO/O/0 Seriall/0/0 


192.168.12.1/24 192.168.23.2/24 
GEO/0/0 Serial1l/0/0 


RI 192.168.12.2/24 R2 192.168.23.3/24 R3 











、 192.168.12.0/24 192.168.23.0/24 
图 1-4 直 连 路 由 的 发 现 
值得 注意 的 是 ， 一 个 接口 的 直 连 路 由 被 加 载 到 路 由 表 的 前 提 是 该 接口 的 物理 状态 
(Physical Status) 及 协议 状态 〈Protocol Status ) 都 必须 是 Up 的 。 接 口 的 物理 及 协议 状态 
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可 以 通过 display ip interface brief 命令 查看 : 


<R2>display ip interface brief 

Interface IP Address/Mask Physical Protocol 
GigabitEthernetO/0/0 192,168.12.2/24 a on up 
GigabitEthernet0/0/1 unassigned | down down 
GigabitEthernet0/0/2 unassigned down down \ 
NULLO unassigned up up(s) 
Seriall/0/0 192.168.23.2/24 up “lt 
Seriall/0/1 unassigned down 


以 上 输出 的 就 是 R2 各 个 接口 的 全 地 址 、 物理 状态 及 协 放 议 状态 。 以 R2 的 Serial1/0/0 
接口 为 例 ， 如 果 该 接口 所 连接 的 线 线 被 拔除 ， 则 接口 的 物理 及 协议 状态 都 将 变 成 Down 
(天 闭 )， 此 时 接口 的 直 连 路 由 也 就 从 R2 的 路 由 表 中 消失 。 现 在 考虑 另 一 种 情况 ， 如 果 
R2 及 R3 采用 PPP (Point-to-Point Protocol， 点 对 点 协议 ) 链 路 互联 ， 即 R2 的 Serial1/0/0 
与 R3 的 Serial1/0/0 接口 均 采 用 PPP 作为 数据 链 路 层 封 装 协议 ， 并 且 这 段 链 路 使 用 PPP 
认证 , R3 作为 PPP 认证 方 , 若 此 时 R2 接口 上 配置 的 用 于 PPP 认证 的 用 户 名 或 密码 有 误 ， 
怠 会 导致 PPP 认证 不 成 功 ， 这 样 一 来 R2 及 R3 的 Serial1/0/0 接口 就 会 出 现 物理 状态 为 
Up 但 是 协议 状态 为 Down 的 情况 。 当 出 现 这 种 情况 时 , 路 由 器 认为 该 接口 不 可 用 , 当然 ， 
该 接口 的 直 连 路 由 也 就 不 会 出 现在 路 由 表 中 。 

路 由 器 能 够 目 动用 现下 连 路 由 并 将 路 由 加 载 到 路 由 表 ， 但 是 对 于 非 直 连 的 网 络 ， 网 
络 管理 员 就 需要 想 办 法 让 路 由 器 知晓 了 。 为 了 让 路 由 器 能 够 到 达 远 端 网 络 ( 非 直 连 网 络 )， 
最 简单 的 方法 是 为 路 由 器 手工 配置 静态 路 由 (Static Route )。 通 过 这 种 方式 维护 路 由 表 项 
虽然 简单 直接 ， 但 是 可 扩展 性 差 ， 如 果 在 规模 较 大 的 网 络 中 完全 使 用 静态 路 由 ， 配 置 工 
作 量 就 会 很 大 ， 而 且 静 态 路 由 无 法 根据 网 络 拓扑 的 变化 作出 动态 响应 ， 这 也 是 其 一 大 次 
端 。 男 一 种 方法 是 使 用 动态 路 由 协议 (Dynamic Routing Protocol)。 一 旦 路 由 器 激活 动态 
路 由 协议 ， 它 们 就 相当 于 拥有 了 “交谈 ”的 能 力 ， 设 备 之 间 可 以 交互 信息 从 而 自动 计算 
或 发 现 网 络 中 的 路 由 。 


1.1.4” 路 由 的 优先 级 


通过 前 文 的 讲解 大 家 已 经 了 解 到 ， 路 由 器 可 以 通过 多 种 方式 获得 路 由 条 目 : 自动 发 
现 直 连 路 由 、 手 工 配置 静态 路 由 或 通过 动态 路 由 协议 自动 学 习 到 动态 路 由 。 当 路 由 器 从 
多 种 不 同 的 途径 获知 到 达 同 一 个 目的 网 段 ( 这 些 路 由 的 目的 网 络 地 址 及 网 络 掩 码 均 相 同 ) 
的 路 由 时 ， 路 由 器 会 比较 这 些 路 由 的 优先 级 ， 优 选 优先 级 值 最 小 的 路 由 。 

如 图 1-5 所 示 ，R2 与 Rl 使 用 RIP 交互 路 由 信息 ，R2 又 通过 OSPF 与 R3 建立 邻接 
关系 ， 于 是 R2 同时 从 RIP 及 OSPF 都 学 习 到 了 去 往 1.1.1.0/24 的 路 由 ， 这 两 条 路 由 来 自 
两 个 不 同 的 动态 路 由 协议 并 且 分 别 以 R1 和 R3 作为 下 一 跳 。R2 最 终 选 择 OSPF 的 路 由 
加 载 到 路 由 表 ， 也 就 是 将 R3 作为 实际 到 达 1.1.1.0/24 的 下 一 跳 ， 因 为 OSPF 内 部 路 由 的 
优先 级 值 比 RIP 更 小 ， 故 路 由 则 更 优 。 此 时 R2 的 路 由 表 中 到 达 1.1.1.0/24 的 路 由 只 会 存 
在 一 条 ， 那 就 是 通过 OSPF 获知 的 路 由 ， 而 关于 该 网 段 的 RIP 路 由 则 “潜藏 ”了 起 来 ， 
当 这 条 OSPF 路 由 失效 时 ，RIP 路 由 才 会 浮现 并 被 R2 加 载 到 路 由 表 中 。 

不 同 的 路 由 协议 或 路 由 种 类 对 应 的 优先 级 见 表 1-1。 这 是 一 个 众所周知 的 约定 (对 
于 不 同 的 厂商 ， 这 个 约定 值 可 能 有 所 不 同 ， 表 1-1 中 罗列 的 是 华为 数 通 产品 的 约定 )。 
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1.1.1.0/24 


人 






RI1 R3 
192.168.12 1 :| 192.168.23.3 
RIP OSPF 





图 1-5 路 由 优先 级 影响 路 由 优选 


表 1-1 路 由 与 优先 级 的 对 应 表 
路 由 类 型 优先 级 

直 连 路 由 0 
OSPF 内 部 路 由 10 
IS-IS 路 由 15 
静态 路 由 60 
RIP 路 由 100 
OSPF ASE 路 由 150 
OSPF NSSA 路 由 150 
IBGP 路 由 255 
EBGP 路 由 255 


1.1.5 ”路 由 的 度量 值 


影响 路 由 优选 的 因素 除了 路 由 优先 级 之 外 ， 还 有 一 个 重要 的 因素 ， 那 就 是 度量 值 
(Metric)。 路 由 表 中 “Cost” 这 一 列 显示 的 就 是 该 条 路 由 的 度量 值 ， 因 此 度量 值 也 被 称 为 
开销 ， 本 书 统一 使 用 度量 值 一 词 来 描述 这 个 概念 。 所 谓 度量 值 就 是 设备 到 达 目 的 网 络 的 
代价 值 。 直 连 路 由 的 度量 值 为 0， 这 点 很 好 理解 ， 因 为 路 由 器 认为 这 是 自己 直 连 的 网 络 ， 
也 束 是 在 “家 门口 ”的 网 络 ， 从 目 己 家 走 到 家 门口 自然 不 需要 耗费 任何 力气 。 男 外 ， 带 
态 路 由 的 度量 值 缺 省 也 为 0， 而 不 同 的 动态 路 由 协议 定义 的 度量 值 是 不 同 的 ， 例如 RIP 
路 由 是 以 跳 数 (到 达 目 的 网 络 所 需 经 过 的 路 由 器 的 个 数 ) 作为 度量 值 ， 而 OSPF 则 以 开 
销 〔 与 链 路 带宽 有 关 ) 作为 度量 值 。 

在 图 1-6 所 示 的 网 络 中 ， 所 有 的 路 由 费 都 运行 了 RIP。R1 将 直 连 网 段 1.1.1.0/24 发 
布 到 了 RIP 中 ， 如 此 一 来 ，R5 将 会 分 别 从 R3 及 R4 学 习 到 RIP 路 由 1.1.1.0/24， 从 R3 
学 习 到 的 1.1.1.0/24 路 由 的 跳 数 为 3， 而 从 R4 学 习 到 的 路 由 的 跳 数 为 2， 因 此 RS 认为 从 
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R4 到 达 目 标 网 段 要 “更 近 一 点 ”， 于 是 它 将 R4 通告 过 来 的 RIP 路 由 加 载 到 路 由 表 ， 这 
样 ， 当 RS 转发 到 达 该 目标 网 段 的 数据 时 ， 会 将 其 发 往 R4。 当 RS 一 R4 一 R1 这 段 路 径 发 生 
故障 时 ，R5 可 能 丢失 R4 所 通告 的 1.1.1.0/24 路 由 ， 此 时 R3 通告 的 路 由 将 会 被 Rs 加 载 进 
路 由 表 ， 如 此 一 来 ， 到 达 1.1.1.0/24 的 数据 流量 将 会 被 R5 引导 到 R3 一 R2 一 R1 这 条 路 径 。 


2 192 168.35 3 


1.1.1.0/24 





RS 的 路 由 表 





1.1.1.0/24 Rip | 要 1 192.168.454 | GEO/0/ 


图 1-6 度量 值 对 路 由 优选 的 影响 


度量 全 是 一 个 影响 路 由 优选 的 重要 因素 ， 正 因为 如 此 ， 在 实际 的 项 目 中 ， 我 们 经 常 
利用 度量 值 来 实现 各 种 路 由 策略 ， 从 而 影响 数据 流 的 走 问 。 

综 上 所 述 , 一 合 路 由 堆 可 以 同时 通过 多 种 途径 获得 路 由 信息 ， 当 出 现 到 达 同 一 个 目的 
网 段 的 路 由 通过 多 种 不 同 的 途径 学 习 到 的 情况 时 ， 路 由 天 会 比较 路 由 的 优先 级 ， 选 择优 先 
级 值 最 小 的 路 由 。 而 当 路 由 器 从 多 个 不 同 的 下 一 跳 ， 通过 同 种 路 由 协议 获知 到 达 同 一 个 目 
的 网 段 的 路 由 时 ， 它 则 会 进行 度量 值 的 比较 。 当 然 有 些 路 由 协议 的 路 由 优选 机 制 会 更 加 复 
洒 一 些 ， 例 如 OSPF 或 BGP， 在 执行 路 由 优选 时 就 并 不 只 是 单纯 地 比较 度量 值 这 么 简单 了 。 


1.2 ”静态 路 由 


静态 路 由 (Static Route ) 是 指 网 络 管理 员 通 过 手工 配置 的 方式 为 路 由 口 创 建 的 路 由 ， 
通过 这 种 方式 ， 网 络 管理 员 可 以 非常 简单 、 便 捷 地 让 路 由 需 获 知 到 达 目 的 网 络 的 路 由 。 
学 习 完 本 贡 之 后 ， 我 们 应 该 能 够 : 

。 理解 静态 路 由 的 概念 并 擎 握 其 配置 ; 

e 理解 默认 路 由 的 概念 及 其 应 用 场景 ; 

e。 理解 浮动 静态 路 由 的 概念 并 掌握 其 配置 ; 

。 掌握 静态 路 由 与 BFD 及 NQA 联动 的 方法 及 配置 ; 

。 了 解 静态 路 由 在 书写 时 的 一 些 注 意 事 项 。 


1.2.1 静态 路 由 的 基本 概念 
路 由 器 能 够 目 动 发 现 直 连 路 由 并 将 其 加 载 到 路 由 表 中 ， 而 对 于 到 达 非 直 连 网 络 的 路 
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由 ， 路 由 堆 束 必须 通过 其 他 途径 来 获取 ， 静 态 路 由 是 一 种 最 直接 、 最 简单 的 方法 。 所 谓 
静态 路 由 ， 也 束 是 网 络 管理 员 使 用 手工 配置 的 方式 为 路 由 器 添加 的 路 由 , 通俗 的 说 法 是 ， 
网 络 千 理 员 通 过 手工 配置 的 方式 告诉 路 由 器 :“ 你 要 到 达 目 的 地 X, 需 把 数据 包 从 接口 Y 
扔 出 去 给 下 一 跳 Z”。 在 网 络 中 部 署 静 态 路 由 后 ， 网 络 设备 之 间 无 需 交 互 特别 的 协议 报 文 
(不 像 动 态 路 由 协议 那样 )。 下 面 的 例子 可 以 帮助 大 家 进一步 理解 静态 路 由 。 

在 图 1-7 所 示 的 网 络 中 ， 我 们 首先 为 两 台 PC 设置 网 卡 IP 地 址 及 默认 网 关 地 址 ， 然 
后 完成 Rl 及 R2 两 台 路 由 器 的 接口 IP 地 址 配置 。 在 初始 情况 下 ， 每 台 路 由 器 都 自动 学 
习 和 且 连 接口 所 在 网 段 的 路 由 ， 并 将 直 连 路 由 加 载 到 路 由 表 中 。R1 的 路 由 表 如 下 : 

<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 10 Routes : 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127,0,0,.1/32 Direct 0 0 D 127.0:0.1 InLoopBack0 
127.255.255.255/32 Direct "0 0 D 127.0.0.1 InLoopBack0 
192.168.1.0/24 “Direct 0 0 D 192.168.1.254 GigabitEthernet0/0/1 i 
192.168.1.254/32 Direct 0 0 D 127:00.1 GigabitEthermet0/0/1 
192.168.1.255/32 1 Ditect 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.12.0/24 “Direct 0 0 D 192.168.12.1 GigabitEthernet0/0/0 
192.168.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.12.255/32 ”Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
255.255.255.255/32 Direct- 0 0 D 127.0.0.1 InLoopBack 
从 R1 的 路 由 表 可 以 看 出 ， 它 此 时 仅仅 发 现 了 直 连 接口 的 路 由 。 
R1 GEO/0/0 R2 
192.168.12.1/24 










GEO0/0/0 
192.168.12.2/24 






GEO/0/1 
192.168.1.254 


GEO/0/1 
192.168.2.254 


PC1 192.168.1.1/24 PC2 192.168.2.1/24 
默认 网 关 192.168.1.254 默认 网 关 192.168.2.254 
图 1-7 部署 静 态 路 由 使 得 PC1 与 PC2 能 够 相互 通信 
R2 的 路 由 表 如 下 : 
<R2>display ip routing-table 


Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 10 Routes : 10 
Destination/Mask Proto 、Pre Cost Flags NextHop Interface 
127.0.0,0/8 Direct 0 0 D- 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.2.0/24 Direct 0 90 D 192.168.2.254 GigabitEthernet0/0/1 
192.168.2.254/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/1 
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192.168.2.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.12.0/24 Direct 0 0 D 192.168.12.2 GigabitEthernet0/0/0 
192.168.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


与 R1 类 似 ，R2 的 路 由 表 中 此 时 也 仅 有 直 连 路 由 。 现 在 Rl 能 够 与 R2 直接 通信 ， 
为 两 者 直接 相连 ， 而 当 PC1 要 发 送 数据 给 PC2 时 ， 它 通过 将 目的 他 地址 (PC2 的 全 地 
址 为 192.168.2.1) 与 本 地 网 卡 的 IP 地 址 及 网 络 掩 码 进行 运算 ， 发 现 该 目的 IP 地 址 是 本 
地 网 段 之 外 的 一 个 地 址 , 因此 它 意 识 到 需要 将 发 往 PC2 的 报 文 先 发 送 给 目 己 的 默认 网 关 ， 
由 于 PC1 的 默认 网 关 被 设置 为 Rl1 的 GEO/OV1 接口 的 卫 地 址 ,于 是 PC1 将 数据 包 发 送 给 
R1。 当 Rl1 收 到 这 个 数据 包 后 ， 它 在 目 己 的 路 由 表 中 得 询 报 文 的 目的 卫 地 址 ， 结 果 友 现 
并 没有 能 够 匹配 该 地 址 的 路 由 条 目 ， 因 此 数据 包 被 丢弃 。 显 然 ， 到 目前 为 止 PC1 是 无 法 与 
PC2 互 访 的 。 那 么 如 何 才能 够 使 得 R1 正常 地 转发 这 个 数据 包 呢 ? 当然 需要 R1 的 路 由 表 
中 拥有 相关 的 条 目 来 做 指示 才 行 。 最 简单 的 一 种 方式 是 使 用 手工 配置 的 方式 为 R1 添加 到 
达 192.168.2.0/24 的 路 由 条 目 ， 也 就 是 为 R1 创建 一 静态 路 由 。 静 态 路 由 的 配置 非常 简单 : 

[R1]ip route-static 192.168.2.0 24 GigabitEthernet 0/0/0 192.168.12.2 

在 设备 的 系统 视图 下 ,使 用 ip route-static 命令 即 可 为 其 创建 静态 路 由 。 上 面 的 命令 
将 为 R1 的 路 由 表 添 加 一 条 静态 路 由 ， 这 条 静态 路 由 的 目的 网 络 地 址 及 掩 码 长 度 为 
192.168.2.0/24， 出 接口 为 GE0/0/0 且 下 一 跳 IP 地 址 是 192.168.12.2。 这 条 命令 等 同 于 ip 
route-static 192.168.2.0 255.255.255.0 GigabitEthernet 0/0/0 192.168.12.2。 于 是 R1 的 路 
由 表 变 成 了 : 

<R1>display ip routing-table 

”有 Route Flags: R -relay, D - download to fib 


Routing Tables: Public 


Destinations : 11 Routes: 1] 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
| 127.0.0.08， Direet 0 0 D 127.0.0.1 InLoopBack0 
32 Deet 人 0 D 127.0.0.1 InLoopBack0 
127.2552552352 ， Direct， 0 0 D 127.0.0.1 InLoopBack0 
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet0/0/1 
192.168.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.2.0/24 Static 60 0 D 192.168.12.2 GigabitEthernet0/0/0 
192.168.12.0/24 Direct 0 0 D 192.168.12.1 GigabitEthernet0/0/0 
192.168.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.12.255/32 Ra Qa D 127.0.0.1 GigabitEthernet0/0/0 
255.255.255.255/32 YB D 127.0.0.1 InLoopBack0 


从 以 上 输出 可 以 看 出 ， R1 的 路 由 表 里 出 现 了 一 个 新 增 的 条 目 一 一 192.168.2.0/24， 这 
样 一 来 ， 当 R1 收 到 PC1 发 往 192.168.2.1 的 数据 包 时 ， 它 发 现 路 由 表 中 有 一 个 静态 路 由 
条 目 匹 配 该 数据 包 的 目的 卫 地址, 于 是 它 将 该 数据 包 从 GE0/0/0 接口 送出 并 转发 给 下 一 
跳 192.168.12.2。 当 这 个 数据 包 到 达 R2 后 ， 后 者 也 在 其 路 由 表 中 查询 目的 卫 地 址 
192.168.2.1， 它 发 现 该 地 址 在 本 地 路 由 表 中 有 路 由 条 目 相 匹配 ， 而 且 该 路 由 为 直 连 路 由 ， 
因此 R2 将 数据 包 根 据 路 由 条 目的 指示 从 GE0/0/1 接口 转发 出 去 ， 最 终 数据 包 到 达 PC2。 

R1 增加 了 这 条 静态 路 由 后 ，PC1 就 能 够 与 PC2 正常 地 交互 数据 了 吗 ? PC1 束 能 
ping 通 PC2 了 吗 ? 答案 是 否定 的 ,为 什么 呢 ? 这 是 因为 两 个 设备 要 实现 正常 的 双 问 通信 ， 
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必须 保证 双向 路 径 可 达 。 到 目前 为 止 ， 从 PCI1 发 往 PC2 的 数据 包 确 实 是 能 够 到 达 PC2 
的 ,但 是 从 PC2 回程 的 数据 包 却 无 法 回 到 PC1 ,回程 数据 包 的 目的 I 了 P 地 址 是 192.168.1.1， 
这 个 数据 包 首 先 被 PC2 发 往 目 己 的 默认 网 关 ， 也 就 是 R2， 后 者 查询 路 由 表 ， 却 没有 发 
现 匹 配 该 目的 地 址 的 路 由 ， 于 是 只 能 将 数据 包 丢 弃 。 因 此 ， 为 了 使 得 PC1 与 PC2 之 间 能 
够 相互 通信 ， 还 需要 再 做 一 步 操作 ， 就 是 在 R2 上 也 增加 一 条 路 由 ， 路 由 的 目的 网 络 地 
址 及 推 码 长 度 是 192.168.1.0/24, 下 一 跳 卫 地址 当然 就 是 Ri 的 接口 地 址 一 一 192.168.12.1 
了 。R2 的 配置 如 下 : 

[R21]ip route-static 192.168.1.0 24 192.168.12.1 

值得 注意 的 是 ， 在 上 述 配置 中 ， 我 们 并 没有 指定 路 由 的 出 接口 ， 在 本 场景 中 是 不 会 
有 问题 的 ，R2 会 根据 下 一 跳 IP 地址 192.168.12.1 进行 递归 运算 ， 也 就 是 在 路 由 表 中 查 
询 到 达 192.168.12.1 的 路 由 ， 从 而 找到 这 个 IP 地 址 对 应 的 出 接口 ， 并 最 终 得 到 
192.168.1.0/24 路 由 的 出 接口 一 一 GE0/0/0。 

此 时 R2 的 路 由 表 如 下 : 

<R2>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 11 Routes : 11 
Destination/Mask Proto Pre Cost Flags ”NextHop Interface 
127.0:0:0/8 Direot 10 0 D 127.0.0.1 InLoopBack0 
127,0,0,1/32 "" Direct 0 D 127.0.0,1 InLoopBack0 
2 2 253255/32 | Dhitedt 由 D 127.0.0.1 InLoopBack0 
192.168.1.0/24 Static 6 RD 192.168.12.1 GigabitEthernet0/0/0 
D 192.168,2.254 GigabitEthernet0/0/1 
D 
D 
D 
D 
D 


= 


192.168.2.0/24 Direct 
192.168.2.254/32 ，Direct 
192.168:2.255/32 | Direct 


0 
0 127.0.0.1 GigabitEthernet0/0/1 
0 

192.168.12.0/24 Direct 0 
0 


127A OE GigabitEthernet0/0/] 
192.168;12.2 GigabitEthernet0/0/0 
127.0.0.1 GigabitEthernet0/0/0 
192.168.12.253/32" " Direct 127.0.0.1 GigabitEthernet0/0/0 
DIOMID 2ID NA Deot 127.0.0.1 InLoopBack 


如 此 一 来 ， PC1 及 PC2 互相 通信 就 没有 问题 了 ， 

如 果 网 络 的 规模 比较 小 ， 全 网 部 署 静 态 路 由 似乎 没有 什么 问题 ， 但 是 在 一 个 大 型 网 
络 中 ， 如 果 完 全 使 用 静态 路 由 来 实现 数据 互通 ， 工 作 量 就 太 大 了 ， 毕 竟 大 型 网 络 中 包含 
的 网 段 数 量 非常 多 ， 这 意味 着 如 果 要 确保 网 络 中 的 每 台 设 备 都 能 够 到 达 全 网 各 个 网 段 ， 
网 络 管理 员 就 不 得 不 配置 大 量 的 静态 路 由 。 另 外 一 个 更 重要 的 问题 是 ， 静 态 路 由 无 法 根 
据 网 络 拓扑 的 变更 作出 动态 调整 ， 因 此 ， 在 大 规模 网 络 中 往往 采用 动态 路 由 协议 或 者 静 
态 路 由 与 动态 路 由 协议 搭配 的 方式 来 打通 路 由 。 


1.2.2 ”静态 路 由 配置 须知 


大 家 都 知道 , 使 用 ip route-static 命令 可 以 为 设备 添加 静态 路 由 , 在 该 命令 中 需要 指 
定 静 态 路 由 的 目的 网 络 地 址 、 网 络 撞 码 (或 掩 码 长 度 )、 下 一 跳 IP 地 址 及 出 接口 等 信息 。 
在 为 设备 创建 静态 路 由 时 ， 关 于 下 一 跳 人 PP 地址 及 出 接口 的 配置 有 几 个 细节 是 需要 注意 的 。 

针对 不 同 的 出 接口 类 型 ， 静 态 路 由 的 配置 要 求 是 不 同 的 。 

(1) 如 果 出 接口 为 BMA (Broadcast Multiple Access， 广 播 型 多 路 访问 ) 类 型 ， 则 天 


192.168.12.2/32 ，Direct 


DE HO DD 
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态 路 由 需 指 定 下 一 跳 卫 地 址 。 

以 太 网 接口 就 是 一 种 非常 典型 的 BMA 类 型 的 接口 ，BMA 接口 接 入 一 个 广播 网 络 ， 
该 网 络 中 往往 还 同时 接 入 了 多 台 设 备 ， 因 此 如 果 仅 仅 为 静态 路 由 指定 出 接口 ， 那 么 路 由 
峰 将 无 法 判断 究竟 该 将 数据 包 发 往 哪 一 个 下 一 跳 设备 。 在 图 1-8 中 ,R1 及 R2 通 过 GE0/0/0 
接口 连接 到 一 台 以 太 网 交换 机 上 ,现在 我 们 要 为 R1 配置 一 条 到 达 2.2.2.0/24 的 静态 路 由 ， 
由 于 Rl 的 出 接口 GE0/0/0 是 一 个 BMA 接口 , 因此 根据 要 求 必 须 在 该 静态 路 由 中 指定 下 
一 跳 IP 地址 ， 所 以 可 以 使 用 如 下 配置 : 

[R1lip route-static 2.2.2.0 255.255.255.0 GigabitEthernet0/0/0 10.1.12.2 

或 者 如 下 配置 : 

[Rilip route-static 2.2.2.0 255.255.255$.,0 10.1.12.2 

以 上 两 种 方式 都 指定 了 具体 的 下 一 跳 IP 地 址 ， 因 此 都 是 可 行 的 。 

而 如 果 将 静态 路 由 改写 为 : 

[R1]jip route-static 2.2.2.0 255.255.255.0 GigabitEthemet0/0/0 

那么 R1 可 能 就 无 法 到 达 2.2.2.0/24 了 ， 正 如 上 面 所 说 ， 它 并 不 知道 要 将 到 达 该 网 段 
的 报 文 转 发 给 哪 一 个 下 一 跳 设 备 。 这 里 其 实 存 在 一 个 有 趣 的 细节 ， 在 完成 上 面 这 条 静态 
路 由 的 配置 后 ，R1 会 认为 2.2.2.0/24 这 个 网 段 从 目 己 的 GE0/0/0 接口 出 去 即 可 到 达 ， 换 
名 话说 ,，R1 认为 该 目标 网 段 是 GE0/0/0 接口 的 直 连 网 段 , 加 上 该 接口 是 一 个 BMA 接口 ， 
因此 ， 当 R1 转发 到 达 2.2.2.0/24 的 数据 包 时 例如 到 达 2.2.2.2)， 会 从 该 接口 广播 ARP 
Request 报 文 , 用 于 查询 处 于 本 地 直 连 网 段 中 的 (至 少 Rl 是 这 么 认为 的 ) 2.2.2.2 的 MAC 
地 址 。R2 会 收 到 这 个 ARP Request， 缺 省 情况 下 和 它 是 不 会 回应 的 ， 毕 竟 R2 的 GE0/0/0 
接口 的 IP 地 址 不 是 2.2.2.2。 所 以 ， 此 时 R1 无 法 将 目的 IP 地 址 为 2.2.2.2 的 数据 包 转 发 
出 去 (因为 它 无 法 获得 关于 2.2.2.2 的 MAC 地 址 )。 这 也 是 为 什么 要 求 当 静态 路 由 的 出 
接口 为 BMA 接口 时 必须 为 该 路 由 指定 下 一 跳 IP 地 址 的 原因 。 当 然 在 这 个 场景 中 可 以 通 
过 一 个 小 佼 俩 来 解决 R1 配置 了 上 述 静 态 路 由 后 到 2.2.2.0/24 不 可 达 的 问题 ， 那 就 是 在 
R2 的 GE0/0/0 接口 上 激活 ARP 代理 (ARP-Proxy) 功能 : 

[R21linterface GigabitEthernet 0/0/0 

[R2-GigabitEthernet0/0/0larp-proxy enable 

R2 完成 上 述 配置 后 ， 它 的 GE0/0/10 接口 即 激活 了 ARP 代理 功能 ， 当 该 接口 再 收 到 
R1 发 送 的 、 用 于 请 求 2.2.2.2 的 ARP Request 时 ， 由 于 R2 自己 直 连 着 2.2.2.0/24 网 段 ， 
因此 它 将 回应 这 个 ARP Request， 并 且 以 自己 的 GE0/0/0 接口 的 MAC 地 址 (替代 2.2.2.2 
对 应 的 真实 MAC 地 址 ) 进行 回应 ， 如 此 一 来 ，R1 会 在 其 ARP 表 中 创建 一 个 表 项 ， 将 
IP 地 址 2.2.2.2 与 R2 的 GE0/0/0 接口 的 MAC 地 址 进行 绑 定 。 此 时 , 当 有 了 1 转发 到 达 2.2.2.2 
的 数据 时 , 它 将 数据 帧 的 目的 MAC 地 址 设置 为 R2 的 GE0/0/0 接口 MAC, 然后 发 送出 去 ， 


。 R2 收 到 这 个 数据 帧 后 , 将 数据 帧 解除 封装 , 然后 解析 数据 包 IP 头 部 中 的 目的 他 地址 并 进 


行路 由 查询 ， 发 现 目的 IP 地 址 束 在 本 地 直 连 网 段 中 ， 于 是 重新 封装 数据 帧 ， 然 后 将 其 转 
发 到 目的 地 。 从 上 述 过 程 可 以 看 出 ， 实 际 上 ARP 代理 行为 颇 有 点 “ARP 欺骗 ”的 味道 。 
虽然 上 述 方法 可 以 解决 R1 的 静态 路 由 存在 的 问题 ， 但 依然 并 非 一 个 推荐 的 方法 。 
因此 当 出 接口 为 BMA 接口 时 ， 在 配置 静态 路 由 时 需 指定 下 一 跳 IP 地 址 。 
(2) 如 果 出 接口 为 P2P (Point-to-Point， 点 对 点 ) 类 型 ， 则 静态 路 由 仅 需 指定 出 接口 。 
P2P 类 型 的 接口 仅 与 一 台 设 备 对 接 。 在 图 1-8 中 ，R1 安装 了 一 个 广域网 接口 卡 ， 并 
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通过 该 接口 卡 上 的 广域网 接口 Serial1/0/0 与 R4 直 连 ， 链 路 两 端的 接口 均 采 用 PPP 封装 ， 
因此 R1 的 Serial1/0/0 是 一 个 典型 的 P2P 接口 。 此 时 要 为 R1 配置 一 条 静态 路 由 ， 使 其 能 
够 到 达 4.4.4.0/24， 那 么 R1 可 以 采用 如 下 配置 

[RIjip route-static 4.4.4.0 24 Serial 1/0/0 

也 就 是 说 ，R1 仅 需 在 该 静态 路 由 中 指定 出 接口 即 可 (当然 也 可 以 指定 出 接口 及 下 
一 跳 IP 地 址 )。 

(3) 如 果 出 接口 为 NBMA (Non-Broadcast Multiple Access， 非 广播 多 路 访问 ) 类 型 ， 
则 静态 路 由 需 指定 下 一 跳 IP 地 址 。 

采用 帧 中 继 (Frame Relay) 封装 的 接口 是 一 种 典型 的 NBMA 类 型 接口 ， 这 种 接口 
同样 能 够 连接 一 台 或 多 人 台 设 备 ， 但 是 并 不 支持 广播 。 拥 有 帧 中 继 接 口 的 路 由 器 维护 看 一 
张 帧 中 继 映 射 表 ， 用 于 存储 帧 中 继 链 路 对 端 设 备 的 IP 地 址 及 本 地 DLCI (Data Link 
Connection _ Identifier， 数据 链 路 连接 标识 ) 的 对 应 关系 。 当 路 由 器 要 通过 帧 中 继 接口 加 
链 路 对 端的 某 台 路 由 器 发 送 数据 时 ， 路 由 器 在 帧 中 继 映 射 表 中 查询 下 一 跳 耻 地 址 〈 帧 中 
继 链 路 对 端的 设备 IP 地址 ) 及 DLCI 的 映射 ， 并 为 数据 包 进 行 帧 中 继 的 封闭， 在 帧 头 中 
写 入 DLCI 号 ， 数 据 包 被 送 入 帧 中 继 网 络 后 ，DLCI 号 用 于 确保 数据 能 够 顺利 到 达 对 端 。 
综 上 ， 由 于 路 由 器 使 用 的 帧 中 继 接 口 可 以 连接 多 台 设 备 ， 而 且 在 通过 帧 中 继 接口 发 送 数 
据 时 ， 需 要 用 到 数据 包 下 一 跳 卫 地 址 对 应 的 DLCI， 因 此 在 为 其 配置 静态 路 由 时 ， 如 果 
出 接口 类 型 为 NBMA， 则 必须 指定 下 一 跳 IP 地 址 。 

在 图 1-8 中 ，R1 的 Seriall/0/1 通过 帧 中 继 链 路 与 R3 建立 连接 ，R3 的 IP 地 址 是 
10.1.13.3， 此 时 R1 已 经 通过 广域网 服务 提供 商 得 到 这 个 IP 地 址 对 应 的 DLCI 并 且 完 成 
了 帧 中 继 接 口 的 相关 配置 。 现 在 R1 需要 部 署 静 态 路 由 ， 使 目 己 能 够 到 达 3.3.3.0/24， 屠 









么 可 以 采用 如 下 配置 : 
[Ri]ip route-static 3.3.3.0 255.255.255.0 10.1.13.3 
2.2.2.0/24 
R2 
GE0/0/0 
10.1.12.2/24 
3.3.3.0/24 


4.4.4.0/24 





Serial1/0/0 10.1.14.4/24 





RI 
图 1-8 ”针对 不 同 的 出 接口 类 型 ， 静 态 路 由 的 配置 存在 不 同 的 注意 事项 


1.2.3 ”默认 路 由 


图 1.9 展示 了 一 个 企业 的 网 络 ，GW1、GW2 及 GW3 是 该 企业 各 个 站 点 的 网 关 路 由 
器 ， 这 些 路 由 器 各 下 联 一 台 以 太 网 交换 机 ， 同 时 上 联 出 口 路 由 器 OR。 以 太 网 交换 机 连 
接着 终端 用 户 ， 出 口 路 由 器 则 连接 着 Internet。 在 该 场景 中 ， 以 OR 为 例 ， 由 于 其 连接 着 
Internet， 是 整个 网 络 的 出 口 ， 因 此 它 将 负责 把 内 网 到 达 Internet 的 数据 包 转 发 出 去 ， 当 
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然 网 络 管理 员 不 太 可 能 在 OR 上 配置 到 达 Internet 的 明细 路 由 ， 毕 竟 整 个 Internet 包含 的 
网 段 实 在 太 多 了 ， 要 想 让 OR 获知 到 达 整 个 Internet 的 路 由 显然 不 现实 。 在 这 种 场景 中 ， 
使 用 默认 路 由 〈Default Route) 是 一 个 非常 不 错 的 解决 办 法 。 默 认 路 由 也 被 称 为 缺 省 路 
由 ， 是 目的 网 络 地 址 及 网 络 掩 码 均 为 0 的 路 由 ， 即 0.0.0.0/0 或 者 0.0.0.0 0.0.0.0。 这 是 一 
条 非常 特殊 的 路 由 ， 所 有 的 目的 IP 地 址 都 能 被 这 条 路 由 匹配 。 






| Internet | 


200.1.1.1/29 


站 点 1 扒 站 点 2 i 站 点 3 : 
: 10.11.0.0/16 ， 10.12.0.0/16 : 10.13.0.0/16 - 


图 1.9 默认 路 由 的 应 用 
如 果 在 OR 上 部 署 静态 路 由 ， 那 么 它 可 以 采用 如 下 配置 : 


[OR]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1 
TOR]ip route-static 10.11.0.0 16 10.1.1.1 
[OR]ip route-static 10.12.0.0 16 10.1.1.5 
[OR lip route-static 10.13.0.0 16 10.1.1.9 


OR 创建 了 4 条 静态 路 由 ， 其 中 ip route-static 0.0.0.0 0.0.0.0 200.1.1.1 命令 为 OR 创 
建 了 一 条 静态 的 默认 路 由 ， 该 路 由 的 下 一 跳 为 200.1.1.1 (OR 到 达 Internet 的 下 一 中 IP 
地 址 )。 借 助 这 条 路 由 ， 路 由 器 能 够 将 访问 Internet 的 数据 转发 出 去 。 而 去 往 三 个 站 点 内 
网 的 数据 包 到 达 OR 时 ， 报 文 会 优先 匹配 10.11.0.0/16、10.12.0.0/16 及 10.13.0.0/16 这 三 
条 静态 路 由 ， 并 被 送 达 相应 站 点 的 网 关 路 由 器 ， 而 目的 地 址 为 其 他 网 段 的 报 文 ( 包 插 访 
问 Internet 的 报 文 ) 则 被 默认 路 由 匹配 ， 被 送 往 200.1.1.1。 

本 书 曾 经 提 到 ， 上 所 有 的 目的 卫 地 址 都 能 够 被 默认 路 由 匹配 ， 那 么 在 OR 完成 上 述 4 
条 衣 态 路 由 的 配置 后 ， 当 其 收 到 去 往 某 个 站 点 的 数据 包 时 ， 为 什么 OR 不 会 将 该 数据 包 
转发 到 200.1.1.1， 而 是 将 其 转发 到 相应 站 点 的 网 关 路 由 器 呢 ? 以 发 往 站 点 1 的 10.11.1.1 
这 个 IP 地 址 的 报 文 为 例 ， 当 OR 收 到 该 报 文 时 ， 它 会 在 路 由 表 中 查询 该 报 文 的 目的 他 
地 址 ， 结 果 发 现 静态 路 由 10.11.0.0/16 及 0.0.0.0/0 都 匹配 该 地 址 ， 最 终 OR 会 选择 10.11.0.0/ 
16 路 由 来 指导 报 文 转发 ， 这 其 实 是 “最 长 前 绥 匹 配 原 则 ”作用 的 结果 ， 因 为 10.11.0.0/16 路 
由 与 目的 卫 地 址 10.11.1.1 的 匹配 程度 更 高 。 关 于 “最 长 前 级 匹配 原则 ”， 本 书 将 在 本 章 相 
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应 的 小 节 中 介绍 。 从 以 上 摘 述 可 以 看 出 ， 默 认 路 由 的 匹配 优先 级 实际 上 是 最 低 的 ， 如 果 路 由 
表 中 存在 默认 路 由 ， 则 只 有 当 路 由 器 没有 发 现 匹 配 报 文 目的 中 地 址 的 任何 具体 路 由 之 后 ， 
才 会 使 用 这 条 默认 路 由 来 转发 数据 ， 因 此 默认 路 由 的 下 一 跳 又 被 视 为 “最 后 的 求助 对 象 ” 

对 于 GW1、GW2 及 GW3 这 三 台 网 关 路 由 器 来 说 ， 也 可 以 分 别 配 置 静态 默认 路 由 ， 
它们 只 需 将 默认 路 由 的 下 一 跳 配 置 为 OR 即 可 实现 数据 的 全 网 可 达 。 当 它们 转发 到 达 其 
他 站 点 的 报 文 时 ， 报 文 的 目的 地 址 能 够 被 默认 路 由 匹配 ， 因 此 被 送 往 OR， 并 由 OR 进 
一 步 转发 到 目的 站 点 ， 而 当 它 们 转发 到 达 Internet 的 报 文 时 ， 报 文 的 目的 地 址 也 匹配 默 
认 路 由 ， 并 被 送 往 OR， 再 由 OR 转发 到 Internet。 





上 ”默认 路 由 在 实际 的 项 目 中 有 着 广泛 的 应 用 。 当 然 ， 上 默认 路 由 不 仅 可 以 通过 静态 的 
方式 实现 ,动态 路 由 协议 同样 支持 默认 路 由 的 动态 下 发 ， 关 于 这 部 分 内 容 本 书 将 在 专门 
讲解 动态 路 由 协议 的 章节 中 进行 介绍 。 


1.2.4 浮动 静态 路 由 
在 图 1-10 所 示 的 网 络 中 ,对 于 R2 而 言 ， 要 去 往 10.9.9.0/24, 通过 R1 及 R3 都 可 达 。 
R2 配置 了 如 下 静态 路 由 : 


[R2]ip route-static 10.9.9.0 24 10.1.12.1 
[R21]ip route-static 10.9.9.0 24 10.1.23.3 


10.9.9.0/24 


这 两 条 静态 路 由 的 目的 网 络 地 址 及 网 
络 掩 码 都 相同 , 而 且 分 别 采 用 不 同 的 下 一 跳 
地 址 ， 在 这 种 情况 下 ，R2 会 比较 这 两 条 路 
由 的 优先 级 , 由 于 这 两 条 路 由 都 是 以 手工 的 ” 
方式 配置 的 静态 路 由 , 因此 优先 级 缺 省 都 是 一 
60， 此 外 两 条 路 由 的 度量 值 也 都 为 0， 因 此 
这 两 条 到 达 10.9.9.0/24 的 路 由 将 被 同时 加 


载 到 R2 的 路 由 表 : 人 
图 1-10 ”静态 路 由 的 负载 分 担 





GE0/0/2 


<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 

Destinations : 11 Routes : 12 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.12.0/24 Direct 0 0 D 10.1.12.2 GigabitEthernet0/0/1 
10.1.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 

10.1.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.1.23.0/24 “Directy0 0 DD 10.1.23.2 GigabitEthernet0/0/2 
10.1.23.2/32 Direct 0 0 了 TO GigabitEthernet0/0/2 
10.1.23.255/32 Direct 0 0 D 127.0.0.1 GigabitEthermet0/0/2 
10.9.9.0/24 Static 60 0 RD 10.1.23.3 GigabitEthernet0/0/2 
Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/1 


new. 
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这 种 现象 被 称 为 路 由 的 等 价 负 载 分 担 。 最 终 的 结果 是 ，R2 转发 到 达 10.9.9.0/24 的 流 
量 时 ， 有 可 能 会 同时 采用 R1 及 R3 作为 下 一 跳 。 负 载 分 担 带 来 的 利好 是 路 由 器 能 够 在 多 
条 路 径 上 进行 流量 的 分 担 ， 从 而 避免 某 条 链 路 带宽 消耗 过 大 而 其 他 链 路 空 载 的 情况 ， 提 
高 了 链 路 的 利用 率 。 但 是 在 茶 些 情况 下 ， 我 们 可 能 会 希望 R2 发 往 10.9.9.0/24 的 流量 始 
终 走 单 边 (如 R1)， 当 RIl 宕 机 或 R1 一 R2 之 间 的 互联 链 路 发 生 故 障 时 ，R2 能 够 自动 将 
流量 切换 到 R3， 这 该 如 何 实现 ? 

通过 部 署 浮动 静态 路 由 (Floating Static Route) 可 以 轻松 地 实现 上 述 需 求 。 大 家 已 经 
知道 使 用 ip route-static 命令 可 以 为 设备 添加 静态 路 由 , 在 缺 省 情况 下 , 这 条 命令 所 添加 
的 静态 路 由 的 优先 级 为 60， 而 该 值 实 际 上 是 可 以 自 定义 的 , 例如 ,将 R2 的 配置 修改 为 : 


[R2]ip route-static 10.9.9.0 24 10.1.12.1 # 该 路 由 的 优先 级 为 缺 省 值 60 
[R2]ip route-static 10.9.9.0 24 10.1.23.3 preference 80 # 该 路 由 的 优先 级 被 设置 为 80 


在 上 述 配 置 中 ，R2 添加 了 两 条 静态 路 由 ， 它 们 的 目的 网 络 地 址 及 掩 码 长 度 都 是 
10.9.9.0/24, 下 一 跳 分 别 为 10.1.12.1 及 10.1.23.3, 留意 到 下 一 跳 为 Rl 的 静态 路 由 并 没有 
指定 优先 级 ， 因 此 该 条 路 由 的 优先 级 为 缺 省 的 60， 另 一 条 静态 路 由 则 使 用 preference 关 
键 字 指定 了 优先 级 80。 这 样 一 来 ， 这 两 条 路 由 中 优先 级 值 较 小 的 路 由 将 最 终 被 加 载 到 路 
由 表 并 作为 数据 转发 的 依据 ， 男 一 条 优先 级 为 80 的 路 由 则 “潜藏 ”起 来 ， 并 不 出 现在 路 
由 表 中 : 

<R2>display ip routing-table 

Route Flags: R - relay, D - download to fib 

i rb i 

Destinations : 1 Routes: 11 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.12.024 Direct 0 0 D 10.1.12.2 GigabitEthemet0/0/1 
10.1.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernetO/O/1 
10.1.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.1.23.0/24 Direct 0 0 D 10.1.23.2 GigabitEthernet0/0/2 
| 10.1.23.2/32.” Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
~ 10.1.23.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 

10.9.9.0/24 Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/1 


此 时 当 R2 转发 到 达 10.9.9.0/24 的 报 文 时 ， 由 于 路 由 表 中 只 存在 一 条 匹配 的 路 由 ， 
因此 报 文 将 始终 被 转发 给 R1。 当 R1 宕 机 ， 或 者 R1 一 R2 之 间 的 链 路 发 生 故 障 时 ，ip 
route-static 10.9.9.0 24 10.1.12.1 这 条 静态 路 由 失效 ,而 ip route-static 10.9.9.0 24 10.1.23.3 
preference 80 也 就 浮现 出 来 了 ， 浮 动静 态 路 由 因此 得 名 。 此 时 R2 的 路 由 表 如 下 : 

<R2>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes:8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.23.0/24 Direct 0 0 D 10.1.23.2 GigabitEthernet0/0/2 
ft0i 922 Ditroet 0 - 06 D 127.0.0.1 GigabitEthernet0/0/2 
10.1.23.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
10.9.9.0/24 Static 80 0 RD 10.1.23.3 GigabitEthernet0/0/2 


ssnsss 


现在 当 R2 转发 到 达 10.9.9.0/24 的 报 文 时 ， 报 文 被 转发 给 R3， 如 图 1-11 所 示 。 
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所 以 浮动 静态 路 由 是 一 种 不 错 的 路 由 备份 机 制 ， 在 茶 种 程度 上 提高 了 静态 路 由 的 灵 
活 度 ， 在 实际 的 网 络 部 署 中 有 着 广泛 应 TP 
用 。 一 个 典型 的 例子 就 是 在 拥有 多 出 口 
的 网 络 中 部 署 出 口 路 由 ， 例 如 一 个 园区 
网 的 出 口 路 由 器 连接 者 A、B 两 个 运营 
商 提供 的 出 口 链 路 ， 我 们 希望 内 网 外 出 ”Ng 本 
的 流量 默认 走 A 运营 商 提供 的 出 口 ， 当 101.12 1 10.123 3 
该 出 口 发 生 故 障 时 ， 则 目 动 切换 到 B 运 
营 商 提供 的 出 口 。 要 实现 这 个 需求 ， 可 







GEO/0/] $x CEO/0/2 
i 


以 在 出 口 路 由 器 上 配置 两 条 默认 路 由 ， 去 往 10.9.9.0/24 的 数据 
并 将 指 问 B 运营 商 的 那 条 默认 路 由 的 优 时 Pp 
先 级 值 调 得 稍微 大 一 些 。 人 


1.2.5 ”案例 1: 静态 路 由 与 BFD 联动 


静态 路 由 配置 起 来 非常 方便 、 人 简单 ， 然 而 其 短 板 也 是 非常 明显 的 一 一 它 无 法 根据 拓 
扑 的 变化 作出 动态 响应 。 在 图 1-12 中 ，R2 通过 以 太 网 链 路 分 别 连接 到 出 口 路 由 器 RI1 
及 R3。 在 Rl 与 R2 之 间隔 看 一 台 以 太 网 交换 机 ， 这 台 以 太 网 交换 机 不 做 任何 配置 ， 在 
该 网 络 中 仅 发 挥 数据 帧 透 传 的 作用 。 


10.9.9.0/24 


RI1 


10.1.12.1/24 10.1.23.3/24 






10.1.12.2/24 


GE0/0/0 10.1.23.2/24 


R2 
图 1-12 ”静态 路 由 无 法 根据 拓扑 的 变化 作出 动态 响应 


现在 ， 网 络 的 需求 是 R2 能 够 访问 10.9.9.0/24， 而 且 在 网 络 正 常 时 ，R2 将 到 达 
10.9.9.0/24 的 数据 包 转 发 给 R1， 而 且 当 RI1 发 生 故 障 时 ,或 者 R1 与 R2 之 间 的 某 段 链 路 
发 生 故 障 时 ，R2 自动 将 数据 包 的 转发 路 径 进 行 切换 ， 将 到 达 该 网 段 的 数据 包 转 发 给 R3。 
这 个 案例 在 1.2.4 节 中 已 经 介绍 过 了 ， 配 置 很 简单 : 


[R2]ip route-static 10.9.9.0 24 10.1.12.1 
[R2]ip route-static 10.9.9.0 24 10.1.23.3 preference 80 


然而 仅仅 依靠 上 述 配 置 是 不 够 的 ， 经 过 测试 您 会 发 现 ， 当 R2 的 GE0/0/0 接口 发 生 
故障 或 者 SW 与 R2 互联 的 链 路 发 生 故 障 时 ，R2 都 能 够 感知 到 ， 此 时 GE0/0/0 接口 的 物 
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理 状态 会 切换 为 Down， 使 用 该 接口 作为 出 接口 的 静态 路 由 ip route-static 10.9.9.0 24 
10.1.12.1 也 就 失效 了 ，R2 会 将 其 从 路 由 表 中 删除 ， 随 后 备份 路 由 ip route-static 10.9.9.0 
24 10.1.23.3 preference 80 将 会 浮现 出 来 。 在 这 个 过 程 中 ， 从 R2 发 往 10.9.9.0/24 的 数据 
流量 可 以 实现 平滑 切换 。 但 是 如 果 R1 发 生 故 障 或 者 R1 与 SW 互联 的 链 路 发 生 故 障 时 ， 
R2 是 无 法 感知 的 。 在 这 种 情况 下 ，R2 的 路 由 表 中 10.9.9.0/24 路 由 的 下 一 跳 依 然 是 
10.1.12.1， 而 其 实 10.1.12.1 已 经 不 可 达 。 这 么 一 来 ， 备 份 路 由 ip route-static 10.9.9.0 24 
10.1.23.3 也 就 无 法 浮现 ， 从 R2 到 达 10.9.9.0/24 的 数据 流量 当然 就 会 中 断 。 

造成 上 述 问题 的 根本 原因 是 ， 静 态 路 由 无 法 感知 到 网 络 拓扑 的 变化 并 作出 动态 响 
应 。 有 一 些 技术 或 机 制 可 以 改 民 静态 路 由 以 便 解 决 上 述 问 题 ，BFD (Bidirectional 
Forwarding Detection， 双 问 转 发 检测 ) 就 是 这 类 技术 之 一 。 实 际 上 ，BFD 是 一 种 实现 网 
络 可 靠 性 的 机 制 ， 它 可 被 用 于 快速 检测 网 络 中 的 链 路 状况 、 卫 可 达 性 等 。BFD 可 以 与 多 
种 协议 或 机 制 进行 联动 ， 以 确保 它们 更 加 可 靠 地 工作 ， 例 如 静态 路 由 、OSPF、IS-IS、 
BGP、VRRP、PIM 及 MPLS LSP 等 。 

在 图 1-12 中 , 可 以 在 Rl 及 R2 上 部 署 BFD 来 检测 双方 直 连 接口 的 卫 连通 性 。BFD 
在 Rl 及 R2 之 间 开 始 工 作 后 ， 两 者 便 会 周期 性 地 交互 BFD 报 文 ， 当 R1 及 R2 之 间 的 连 
通 性 产生 问题 时 ， 双 方 的 BFD 报 文 交互 也 将 发 生 问 题 ， 此 时 R1 及 R2 都 能 通过 BFD 感 
知 到 网 络 的 变化 。 而 当 我 们 在 R2 上 配置 静态 路 由 时 ， 可 将 下 一 跳 为 Ri 的 静态 路 由 与 
BFD 进行 联动 ， 当 BFD 的 检测 状态 为 Up 时 ， 这 条 静态 路 由 能 够 正常 工作 ， 而 当 BFD 
检测 状态 为 Down 时 ， 与 之 关联 的 静态 路 由 会 立即 失效 ， 从 而 使 得 备份 路 由 能 够 浮现 。 

R1 的 配置 如 下 : 

# 激 活 BFD 功能 : 


[R1Jbfd 
[R1-bfdlquit 


# 创 建 一 个 BFD 会 话 ， 会 话 名 称 为 ab (该 名 称 可 自 定义 )， 对 端 IP 地 址 为 10.1.12.2， 
~ [Rilbfd ab bind peer-ip 10.1.12.2 
[RI-bfd-session-ab]discriminator local 10 # 该 BFD 会 话 的 本 地 标识 符 


[RI1-bfd-session-ab]discriminator remote 20 # 该 BFD 会 话 的 远 端 标识 符 
[R1-bfd-session-ab]commit # 提 交配 置 


需 注意 的 是 ， 在 R1 的 BFD 会 话 中 ，discriminator local 需 与 R2 的 discriminator 
remote 相同 ， 而 它 的 discriminator remote 需 与 R2 的 discriminator local 相同 。 另 外 ， 
BFD 会 话 的 名 称 只 具有 本 地 意义 ， 双 方 无 需 相 同 。 

R2 的 配置 如 下 : 


[R2]Jbfd 
[R2-bfdjquit 


[R2]bfd ba bind peer-ip 10.1.12.1 
[R2-bfd-session-baldiscriminator local 20 
[R2-bfd-session-baldiscriminator remote 10 
[R2-bfd-session-bajcommit 
[R2-bfd-session-balquit 


# 将 下 一 跳 为 R1 的 静态 路 由 与 BFD 会 话 ba 进行 联动 : 
[R2]ip route-static 10.9.9.0 24 10.1.12.1 track bfd-session ba 
# 配 置 浮动 静态 路 由 ， 下 一 跳 为 R3: 
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[R2]ip route-static 10.9.9.0 24 10.1.23.3 preference 80 


完成 上 述 配 置 后 ，R1 及 R2 便 会 进行 BFD 报 文 的 交互 。 首 先 看 一 下 R2 的 BFD 状态 : 


<R2>display bfd session all 
Local Remote PeerIpAddr State Type InterfaceName 
20 10 10.1.12.1 Up S_IP_PEER = 


-一 -一 一 一 一 一 一 一 -一 -一 一 一 一 -一 一 一 -一 一 一 一 一 -一 一 -一 一 -一 一 一 一 一 一 一 -一 一 一 -一 -一 一 一 -一 -一 一 一 -一 一 一 一 一 一 一 一 一 一 -一 一 -- -一 一 一 一 一 一 一 - 


Total UP/DOWN Session Number : 1/0 


BFD 的 状态 是 Up 的 ， 因 此 与 该 BFD 联动 的 静态 路 由 此 时 将 出 现在 路 由 表 中 。R2 
的 路 由 表 如 下 : 


<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 


-一 一 一 一 一 一 一 一 一 一 一 一 一 -一 -一 一 -一 一 一 -一 -一 一 一 一 一 一 一 一 一 ”一 -一 一 一 一 一 一 一 一 -- 一 一 一 一 一 一 一 -一 一 一 一 一 -一 一 -一 -一 一 一 一 一 一 -一 一 一 


Routing Tables: Public 


Destinations : 11 Routes : 11 
Destination/Mask Proto Pre Cost Flags - NextHop Interface 
10.1.12.0/24 Direct 0 0 D 10.1,12.2 GigabitEthernet0/0/0 
10.1.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
10.1.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
10.1.23.0/24 Direct 0 0 D 10.1.23.2 GigabitEthernet0/0/] 
10.1.23.2/32 ”Direct 0 0 D 127.0.0;1 GigabitEthernet0/0/1 
10.1.23.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernetO/0/] 
10.9.9.0/24 Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/0 


现在 将 R1 连接 SW 的 接口 关 团 ， 以 便 模拟 R1 发 生 故 障 的 情况 ，R2 将 弹出 如 
下 日 志 : 
Aug 29 2015 12:29:39-08:00 R2 %%01BFD/4/STACHG_TODWN()[2]:BFD session changed to Down. (SlotNumber=0, 


Discriminator=335544320, Diagnostic=DetectDown, Applications=Nore, ProcessPST=False, BindinterfaceName=None, 
InterfacePhysicalState=None, InterfaceProtocolState=None) 


由 于 R1 与 R2 之 间 的 连通 性 已 经 出 现 了 问题 ，BFD 很 快 便 能 感知 到 ， 从 上 述 日 志 
的 输出 可 以 看 出 ，BFD 的 状态 已 经 切换 为 Down， 查 看 一 下 会 话 状态 : 


<R2>display bfd session all 
Local Remote PeerlpAddr State Type InterfaceName 
20:"© .10 10.1.12.1 Down Ss IP PEER = 


Total UP/DOWN Session Number : 0/1 
由 于 静态 路 由 ip route-static 10.9.9.0 24 10.1.12.1 track bigaasidion ba 与 该 BFD 会 话 


进行 了 联动 ， 因 此 一 旦 会 话 状态 为 Down， 该 条 静态 路 由 立即 失效 ， 如 此 一 来 ， 浮 动 路 
由 便 会 出 现在 路 由 表 中 : 


<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 11 Routes : 11 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.12.0/24 Direct 0 0 D 夫 .1122 GigabitEthernet0/0/0 
10.1.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 


10.1.12.255/32 Direct 0 0 D 127.0.0.1 GOigabitEthemetO/0/0 
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10.1.23.0/24 Direct 0 0 D 10.1.23.2 GigabitEthernet0/0/1 

10.1.23.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 

10,1.23.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.9.9.0/24 Static 80 0 


RD 10.1.23.3 GigabitEthernet0/0/1 


EE 


此 时 ， 从 R2 发 往 10.9.9.0/24 的 数据 被 转发 给 了 R3， 流 量 实现 了 平滑 切换 。 

当 R1 连接 SW 的 接口 从 故障 中 恢复 后 ，R1 与 R2 之 间 的 BFD 继续 工作 ， 并 且 状 态 
切换 为 Up, 此 时 下 一 跳 为 R1 的 静态 路 由 将 重新 出 现在 路 由 表 中 , 从 R2 发 往 10.9.9.0/24 
的 数据 流量 会 切换 回 R1。 


1.2.6 ”案例 2: 静态 路 由 与 NQA 联动 


在 1.2.5 节 中 ， 大 家 人 营 握 了 使 用 BFD 来 弥补 静态 路 由 无 法 动态 啊 应 网 络 拓扑 变更 这 
一 短 板 的 方法 , 除 此 之 外 , 还 有 一 个 颇 有 用 处 的 工具 NQA (Network Quality Analysis， 
网 络 质量 分 析 )， 也 可 以 实现 类 似 的 功能 。NQA 是 一 个 非常 强大 的 工具 ， 主 要 用 于 网 络 
性 能 检测 及 运行 状况 分 析 。 通 过 在 设备 上 部 署 NQA， 网 络 管理 员 可 以 对 网 络 的 啊 应 时 间 、 
网 络 抖动 、 丢 包 率 等 信息 进行 统计 ， 从 而 能 够 实时 采集 到 网 络 的 各 项 运行 指标 。NQA 文 
持 DHCP、DNS、FTP、HTTP、ICMP、SNMP、TCP、Trace、UDP 等 各 种 测试 机 制 ， 
功能 十 分 丰富 。 当 然 , NQA 也 能 完成 基本 的 IP 可 达 性 测试 (例如 使 用 ICMP 测试 机 制 )， 
并 且 将 测试 结果 与 静态 路 由 进行 联动 。 在 部 署 静态 路 由 与 NQA 联动 时 ， 只 需 配 置 静 态 
路 由 的 设备 文 持 NQA 即 可 。 

还 是 以 图 1-12 的 案例 为 例 , 依然 是 相同 的 需求 ， 此 时 只 需要 在 R2 上 部 普 一 个 NQA 
的 实例 ， 使 用 ICMP 测试 机 制 探测 到 R1 (10.1.12.1) 的 可 达 性 ， 并 将 测试 结果 与 下 一 跳 
为 R1 的 静态 路 由 进行 联动 即 可 。 当 NQA 检测 到 10.1.12.1 可 达 时 ， 静 态 路 由 生效 ， 当 
检测 到 其 不 可 达 时 ， 静 态 路 由 失效 ， 此 时 浮动 路 由 将 出 现在 路 由 表 中 。 

首先 在 R2 上 创建 一 个 NQA 的 ICMP 测试 实例 : 

[R2jnqa test-instance admin testl 

区 2-nqa-admin-test1]test-type icmp 

[R2-nqa-admin-testl ]destination-address ipv4 10.1.12.1 

[R2-nqa-admin-testljfrequency 6 

[R2-nqa-admin-test1 ]jprobe-count 2 

[R2-nqa-admin-testl Jinterval seconds 2 


[了 R2-nqa-admin-testl jtimeout 2 
[R2-nqa-admin-testl]start now 


在 以 上 配置 中 ，admin 是 测试 实例 的 管理 者 名 称 ，testl 是 测试 实例 名 ， 这 两 个 名 称 
都 是 自 定义 的 。Test-type 命令 定义 了 该 测试 实例 使 用 的 测试 机 制 为 ICMP; destination- 
address 定义 的 是 测试 对 象 的 IP 地址; frequeney 定义 的 是 每 一 轮 测试 的 时 间 间 隔 (单位 
为 秒 );，probe-count 命令 定义 了 每 一 轮 测试 的 探测 次 数 ，interval seconds 定义 了 在 每 一 
轮 测 试 当 中 每 个 探测 报 文 的 发 送 间隔 〈 单 位 为 秒 ); 而 timeout 则 定义 了 每 一 次 探测 的 超 
时 时 间 (单位 秒 )。 最 后 start now 命令 使 该 测试 实例 开始 执行 。 

接 下 来 为 R2 配置 静态 路 由 ， 将 静态 路 由 ip route-static 10.9.9.0 255.255.255.0 
10.1.12.1 与 admin testl 这 个 NQA 实例 进行 联动 ， 然 后 再 另外 配置 一 条 浮动 静态 路 由 : 


[R1Jip route-static 10.9.9.0 255.255.255.0 10.1.12.1 track nqa admin test] 
[R1l]ip route-static 10.9.9.0 255.255.255.0 10.1.23.3 preference 80 
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完成 上 述 配 置 后 ， 首 先 查 看 一 下 NQA 实例 的 探测 结果 : 
<R2>display nga results 

NOQA entry(admin, testl) :testflag is active ,testtype is icmp 

1. Test] result The testis finished 


Send operation times: 2 Receive response times: 2 
Completion:success RTD OverThresholds number: 0 
Attempts number:1 Drop operation number:0 
Disconnect operation number:0 Operation timeout number:0 
System busy operation number:0 Connection fail number:0 
Operation sequence errors number:0 RTT Status errors number:0 


Destination ip address:10.1.12.1 
Min/Max/Average Completion Time: 40/40/40 
Sum/Square-Sum Completion Time: 80/3200 
Last Good Probe Time: 2015-08-29 16:18:17.8 
Lost packet ratio: 0 % 

2. Test 2 result The testis finished 


Send operation times: 2 Receive response times: 2 

Completion:success RTD OverThresholds number: 0 

Attempts number:1 Drop operation number:0 

Disconnect operation number:0 Operation timeout number:0 

System busy operation number:0 Connection fail number:0 | 


Operation sequence errors number:0 RTT Status errors number:0 
Destination ip address:10.1.12:1 

Min/Max/Average Completion Time: 40/40/40 

Sum/Square-Sum Completion Time: 80/3200 

Last Good Probe Time: 2015-08-29 16:18:23.8 

Lost packet ratio: 0 % 

3. Test 3 result The testis finished 


Send operation times: 2 Receive response times: 2 
Completion:success RTD OverThresholds number 0 、 
Attempts number:1 Drop operation number:0 
Disconnect operation number:0 Operation timeout number:0 
System busy operation number:0 Connection fail number:0 
Operation sequence errors number:0 RTT Status errors number:0 


Destination jp address;10,1.12.1 
Min/Max/Average Completion Time: 30/40/35 
Sum/Square-Sum Compléetion Time: 70/2500 

~ Last Good Probe Time: 2015-08-29 16:18:29.8 
Lost packet ratio: 0 % 


从 上 述 输 出 可 以 看 到 ，R2 己 经 完成 了 三 轮 测试 ， 每 一 轮 测试 的 结果 都 是 成 功 的 
(Success)。 使 用 display nqa history 命令 可 以 查看 到 每 一 次 探测 的 结果 : 


<R2>display nqa history 
NOQA entry(admin, test1) history: 

IndexT/H/IP Response Status Address Time 
oa yh vg 40ms Success 10,1.12.1 2015-08-29 16:18:15.866 
pa Po Vy 40ms SUCCESS 10.1.12.1 2015-08-29 16:18:17.856 
3 ,Wd 40ms success 10,1,12,1 2015-08-29 16:18:21.866 
a fh Ws 40ms ™ success 和 由. 2015-08-29 16:18:23.896 
Ee 40ms SUCCeSS 10.1.12.1 2015-08-29 16:18:27.806 

Wi 30ms SUCCESS Pu 2 2015-08-29 16:18:29.826 


由 于 当前 每 一 轮 NQA 检测 的 都 是 成 功 的 , 因此 与 该 NQA 实例 联动 的 静态 路 由 也 是 
活跃 的 ， 此 时 它 出 现在 R2 的 路 由 表 中 : 
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<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 11 Routes : 11 
Destination/Mask Proto，，RPre Cost Flags ”NextHop Interface \ 
10:1.12.0/24 "Direct . 0 0 D O22 GigabitEthernet0/0/0 
10.L12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
0.12255/32, ,Dirsct ， 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
10.1.23.0/24 ~ Direct 0 0 D 10.1.23.2 GigabitEthernet0/0/1 
10,1232/32 "Direet 【个 0 D 127.0.0:] GigabitEthernet0/0/1 
O23.255/321) itest 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.9.9.0/24 Static 60 “0 RD 10.1.12.1 GigabitEthernet0/0/0 


到 达 10.9.9.0/24 的 流量 被 R2 转发 给 了 R1。 
现在 将 R1 连接 SW 的 接 日 天 闭 ， 来 模拟 R1 发 生 故 障 的 情景 。 


<R2>display nqa results 


4. Test 20 result The test is finished 

Send operation times: 2 
Completion:failed 

Attempts number:1 


Receive response times: 0 
RTD OverThresholds number: 0 
Drop operation number:0 


Disconnect operation number:0 Operation timeout number:2 
System busy operation number:0. Connection fail number:0 
Operation sequence errors number:0 RTT Status errors number:0 


Destination ip address:10.1.12.1 
Min/Max/Average Completion Time: 0/0/0 
Sum/Square-Sum Completion Time: 0/0 
Last Good Probe Time: 0000-00-00 00:00:00.0 
Lost packet ratio: 100 % 


此 时 R2 的 NQA 实例 检测 失败 (failed)， 如 此 一 来 , 与 该 实例 联动 的 静态 路 由 失效 ， 
浮动 路 由 出 现在 了 路 由 表 中 : 

<R2>display ip routing-table 

Route Flags: R - relay, D - download to fib 


CCC 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 天 


Routing Tables: Public 


Destinations ; 11 Routes ; 11 
Destination/Mask Ero 1 Pre ,Cont Flags NextHop Interface 
10,1.12.0/24 ~ Direct 0 0 D 10,1.12.2 GigabitEthemet0/0/0 
10,1.12.2/32.,. Direct 浊 0 D 127.0.0.1 GigabitEthernet0/0/0 
10,l.,12.255/32'" Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
10.1.23.0/24 . Direct 0 0 D 10.1.23;2 GigabitEthernet0/0/1 
23.232." Direct (0 0 D 127.0.0.1 GigabitEthernet0/0/1 
JO.23:255/32 Direct "0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.9.9.0/24 Static 80 0 RD 10.1.23.3 GigabitEthernet0/0/1 


Hn 


此 时 ， 到 达 10.9.9.0/24 的 流量 被 R2 平滑 地 切换 到 了 R3。 


而 当 了 R1 的 接口 恢复 后 ，R2 到 10.1.12.1 的 卫 可 达 性 也 跟着 恢复 了 ，NQA 实例 又 能 
够 检测 成 功 ， 因 此 与 该 实例 联动 的 静态 路 由 又 再 次 出 现在 了 路 由 表 中 ， 到 达 10.9.9.0/24 
的 流量 被 R2 重新 切换 到 R1。 
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1.2.7 案例 3: A 与 B 互 ping 的 问题 


在 网 络 维护 过 程 中 ， 大 家 可 能 时 常会 磁 到 一 些 “奇怪” 的 问题 ， 其 实 ， 许 多 问题 只 
要 深入 挖 据 、 仔 细 分 析 ， 是 能 够 找到 科学 及 合理 的 解释 的 。 有 这 么 一 个 小 问题 相信 不 少 
读者 曾经 遇 到 过 :“A 能 ping 通 B， 但 是 B 无 法 ping 通 A”。 

“A 能 ping 通 B， 但 是 B 无 法 ping 通 A” 的 一 个 典型 场景 是 在 防火 墙 组 网 中 位 于 两 
个 不 同安 全 区 域 (Security Zone) 的 主机 构成 的 拓扑 。 在 图 1-13 所 示 的 网 络 中 存在 一 台 
防火 场 ，PC1 及 PC2 分 别处 于 防火 均 的 两 个 不 同安 全 区 域 中 。PC1 位 于 安全 级 别 较 高 的 
可 信赖 区 域 (Trust)， 而 PC2 则 位 于 安全 级 别 较 低 的 非 可 信赖 区 域 (Untrust)， 为 了 保证 
Trust 区 域内 PC 的 安全 ， 可 在 防火 墙 上 部 署 安全 策略 ， 人 允许 Trust 区 域内 的 PC 主动 同 
Untrust 区 域内 的 PC 发 起 访问 ， 反 之 则 禁止 。 因 此 在 这 个 环境 中 ， 当 PC1 主动 访问 PC2 
时 ， 去 程 流量 能 够 被 防火 墙 检测 通过 并 放行 〈 因 为 安全 策略 允许 了 这 些 流量 )， 而 PC1 
访问 PC2 后 所 触发 的 、PC2 发 送 的 回程 流量 , 也 能 够 被 防火 墙 放行 ， 因此 在 这 个 场景 中 ， 
PC1 是 能 够 ping 通 PC2 的 。 然 而 PC2 是 无 法 主动 同 PC1 发 起 访问 的 ， 换 句 话说 ，PC2 
是 无 法 ping 通 PC1 的 。PC2 主动 访问 PC1 时 所 产生 的 流量 由 于 不 被 防火 墙 的 安全 策略 
所 允许 ， 因 此 将 被 防火 墙 直 接 丢 弃 。 读 者 可 能 会 有 疑惑 : 为 什么 PC2 啊 应 PC1 的 访问 时 
所 产生 的 回程 流量 能 够 被 防火 墙 放行 , 而 PC2 主动 访问 PC1 的 流量 则 无 法 穿越 防火 墙 ? 
流量 的 方 问 同样 是 从 Untrust 区 域 到 Trust 区 域 ， 为 什么 会 区 别 对 待 ? 实际 上 这 与 防火 墙 
的 工作 机 制 有 关 ， 目 前 行业 中 多 数 的 防火 墙 都 是 状态 化 防火 墙 ， 当 一 个 会 话 的 首 包 顺利 
通过 防火 墙 的 安全 检查 并 被 其 转发 时 ， 防 火 墙 会 为 该 会 话 动态 地 产生 一 个 状态 化 信息 
一 一 会 话 表 项 (Session Table Entry)， 该 表 项 包含 着 这 个 会 话 的 五 元 组 信息 ( 源 卫 地址 、 
目的 IP 地址、 协议 类 型 、 源 端口 号 及 目的 端口 号 2)， 而 回程 流量 由 于 拥有 相 匹 配 的 五 元 
组 信息 ， 因 此 防火 墙根 据 会 话 表 项 的 查询 判断 出 该 流量 为 一 个 已 知 会 话 的 回程 流量 ， 于 
是 将 其 放行 ， 如 图 1-14 所 示 。 而 PC2 主动 访问 PC1 时 ， 防 火 墙 查询 会 话 表 后 发 现 并 无 
相 匹 配 的 表 项 , 而 且 安全 策略 又 禁止 了 这 些 流量 ,因此 PC2 主动 发 往 PC1 的 流量 被 丢弃 ， 
这 就 是 PC2 无 法 ping 通 PC1 的 原因 。 


er Trust 区 域 





图 1-13 在 防火 墙 组 网 中 A 与 B 互 ping 的 问题 





回程 流量 
图 1-14 PC1 能 够 ping 通 PC2 
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除了 防火 墙 组 网 经 常 容易 出 现 “A 能 ping 通 B, 但 是 B 无 法 ping 通 A” 的 现象 ( 当 
然 在 防火 墙 组 网 中 ， 这 是 正常 现象 ， 也 是 符合 业务 需求 的 现象 ) 外 ， 纯 路 由 器 组 网 也 可 
能 会 遇 到 类 似 的 现象 。 在 图 1-15 中 ， 网 络 管理 员 在 R1 上 使 用 ping 1.1.1.1 命令 测试 到 
PC 的 可 达 性 时 , 发 现 结果 是 成 功 的 , 但 是 从 PC 却 无 法 ping 通 Rl1 的 接口 地 址 10.1.12.1。 
网 络 故障 定位 能 力 是 一 个 网 络 从 业 人 员 必 备 的 基本 素质 ， 在 面 对 网 络 中 出 现 的 故障 时 ， 
最 重要 的 是 要 有 清晰 的 思路 。 


R2 R3 












10.1.35.3/24 


10.1.12.1/24 
GEO/0/1 1.1.1.254/24 
RI 


RS PC 
].1.1.1/24 


GOEU/0/2 
10.1.14.1/24 


10.1.14.4/24 


R4 
图 1-15 Rl 能 够 ping 通 PC， 而 PC 无 法 ping 通 及 1 


尝试 在 PC 使 用 tracert 10.1.12.1 命令 测试 一 下 : 
PC>tracert 10.1.12.1 


traceroute to 10.1.12.1, 8 hops max 
(ICMP), press Ctrl+C to stop 
1 1.1.1.254 47ms 3lms 16ms 


2 宗 …， 珍 让 一 事 
3 六 妾 水 
4 率 守 半 
5 率 半 六 
6 米 玉 率 
kr 米 ” 冲 妾 
8 水 ” 来 率 


我 们 发 现 只 有 第 一 跳 设 备 即 Rs 做 了 回应 ， 因 此 需 进一步 检查 网 络 中 相关 设备 的 路 
由 表 。 首 先 PC 将 默认 网 关 设 置 为 1.1.1.254， 当 PC ping 10.1.12.1 时 ， 其 产生 的 ICMP 
Request 报 文 的 源 卫 地 址 为 1.1.1.1， 而 目的 他 地 址 为 10.1.12.1， 这 个 报 文 首 先是 被 发 往 
PC 的 默认 网 关 R5， 而 Rs 则 通过 在 目 己 的 路 由 表 中 查询 到 达 10.1.12.1 的 路 由 来 确定 如 
何 转发 这 个 报 文 ， 在 Rs 的 路 由 表 中 存在 如 下 路 由 : 

<RS>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 15 Routes : 15 


Destination/Mask Proto Pre Cost Flags NextHop Interface 


10.1.12.0/24 Static 60 0 RD 10.1.35.3 GigabitEthernet0/0/1 


那么 ， 当 R5 收 到 去 往 10.1.12.1 的 报 文 时 ， 会 将 其 转发 给 R3。 而 网 络 管理 员 检 查 
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R3 的 路 由 表 后 发 现 ，R3 并 没有 到 达 目 的 网 段 的 路 由 ， 因 此 报 文 在 R3 处 被 丢弃 。 这 了 束 是 
PC 无 法 ping 通 R1 的 原因 。 但 是 为 何 反 过 来 ,，R1 却 能 ping 通 PC 呢 ? 对 于 Rl 而 言 ， 有 
两 个 接口 连接 到 了 这 个 网 络 ， 这 两 个 接口 的 IP 地 址 分 别 是 10.1.12.1/24 及 10.1.14.1/24， 
那么 当 RI1 ping PC 时 ,使 用 的 源 下 地 址 究竟 是 哪 一 个 ? 实际 上 ,在 R1 上 执行 ping 1.1.1.1 
命令 时 ， 它 所 产生 的 ICMP Request 报 文 的 源 卫 地 址 缺 省 即 该 报 文 的 出 接口 的 卫 地 址 ， 
也 就 是 说 ， 这 个 ICMP Request 报 文 从 哪个 接口 发 出 ， 缺 省 其 源 IP 地 址 即 该 接口 的 人 地 
址 。 而 R1 是 依据 其 路 由 表 来 决定 将 到 达 1.1.1.1 的 ICMP Request 报 文 从 哪个 接口 发 出 。 

在 Rl 的 路 由 表 中 ， 网 络 管理 员 发 现存 在 一 条 到 达 1.1.1.0/24 的 静态 路 由 : 

<R1i>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public = 


Destinations : 11 Routes : 11 
Destination/Mask Proto Prel nant Flags NextHop Interface 
1.1.1.0/24 Statie 60 0 RD 10.1.14.4 "GigabitEthernet0/0/2 


本 本 


因此 当 R1 ping PC 时 , 其 产生 的 ICMP Request 报 文 的 源 卫 地 址 为 10.1.14.1。 而 PC 
在 回应 这 个 ICMP Request 报 文 时 ， 所 产生 的 ICMP Reply 报 文 的 源 卫 地 址 为 1.1.1.1， 目 
的 全 地 址 为 10.1.14.1。 

报 文 的 传输 路 径 如 图 1-16 所 示 。 


ICMP Reply 







10.1.12.1/24 
GEUO/O/1 





PC 
1.1.1.1/24 






GEO/0/2 
10.1.14.1/24 





ICMP Request 
目的 IP 地 址 : 1.1.1.1 
图 1-16 从 Rl ping PC 时 ，ICMP 报 文 的 交互 路 径 

由 于 处 于 该 转发 路 径 上 的 路 由 器 都 拥有 到 达 目 的 网 段 的 路 由 ， 因 此 RI1 可 以 ping 通 
PC。 所 以 看 似 简 单 的 A 访 问 B，B 访问 A， 实 际 上 报 文 的 源 四 地 址 及 目的 了 PP 地 址 是 不 
同 的 ， 转 发 路 径 也 是 不 同 的。 
1.2.8 ”案例 4: 静态 路 由 在 以 太 网 接口 中 的 写法 及 路 由 器 的 操作 

大 家 已 经 知道 ， 使 用 ip route-static 命令 可 以 为 设备 添加 静态 路 由 ， 本 书 在 “静态 路 
由 配置 须知 ”一 节 中 也 已 经 介绍 过 静态 路 由 在 配置 时 的 一 些 注意 事项 ， 实 际 上 ， 当 出 接 
口 为 BMA 类 型 (例如 以 太 网 接口 ) 时 ， 静 态 路 由 的 不 同 书写 方法 将 导致 路 由 器 执行 不 





第 1 章 路 由 基础 27 


同 的 操作 。 
在 图 1-17 中 ，R1、R2 及 R3 预备 采用 静态 路 由 实现 各 个 网 段 的 互通 ， 我 们 将 围 红 
RI1 到 达 3.3.3.0/24 这 一 目标 , 来 看 看 当 R1 采用 不 同 的 静态 路 由 配置 时 路 由 器 的 操作 过 程 。 
3,3.3.3/24 


GEO/0/0 GEO/0/1 
10.1.12.1/24 10.1.23.2/24 





GEO/0/0 GEO/0/0 
RI1 10.1.12.2/24 R2 10.1.23.3/24 R3 


图 1-17 静态 路 由 的 不 同 写法 将 影响 路 由 器 的 操作 


1. 配置 场景 一 

当 Rl 采用 如 下 配置 时 : 

[Ri]ip route-static 3.3.3.0 24 10.1.12.2 

这 是 一 种 非常 典型 、 也 是 通常 推荐 的 静态 路 由 配置 方法 ， 该 路 由 指定 了 明确 的 下 一 
跳 IP 地 址 。 这 条 静态 路 由 书写 完成 后 ，R1 会 将 其 添加 到 路 由 表 中 ， 由 于 该 条 静态 路 由 
并 未 指定 出 接口 , 因此 RI1 继续 在 路 由 表 中 查询 到 达 该 路 由 下 一 跳 IP 地 址 10.1.12.2 的 路 
由 ， 它 发 现 该 IP 地 址 是 本 地 接口 GE0/0/0 所 直 连 的 网 段 中 的 地 址 ， 于 是 将 路 由 3.3.3.0/24 
关联 到 出 接口 GE0/0/0。R1 的 这 个 操作 被 称 为 递归 (Recursion ) 租 询 ,也 被 称 为 路 由 迭 代 。 

此 时 假设 R1 收 到 去 往 3.3.3.3 的 报 文 ， 它 会 将 报 文 从 GE0/0/0 接口 转发 出 去 ， 并 且 
报 文 被 转发 给 10.1.12.2。 

2. 配置 场景 二 

当 Rl 采用 如 下 配置 时 : 

[R1lip route-static 3.3.3.0 24 GigabitEthernet 0/0/0 

该 条 静态 路 由 只 关联 了 出 接口 ， 而 并 未 指定 下 一 跳 IP 地 址 信息 。 完 成 上 述 配 置 后 ， 
R1 将 认为 3.3.3.0/24 从 GE0/0/0 接口 出 去 即 可 到 达 , 由 于 没有 明确 的 下 一 跳 IP 地 址 信息 ， 
因此 当 其 转发 到 达 3.3.3.0/24 的 报 文 时 (以 目的 主机 3.3.3.3 为 例 )， 它 将 直接 从 GE0/0/0 
接口 发 送 ARP Request 三 播 数据 帧 ， 试 图 获知 3.3.3.3 对 应 的 MAC 地 址 。 此 时 如 果 R2 
的 GE0/0/0 接口 激活 了 ARP-Proxy, 并 且 其 存在 到 达 3.3.3.0/24 的 路 由 ， 则 R2 会 回应 R1 
关于 3.3.3.3 的 ARP Request， 并 且 以 自己 GE0/0/0 接口 的 MAC 地 址 进行 回应 。 如 此 一 
来 ，R1 即 可 将 到 达 3.3.3.3 的 数据 帧 转发 给 R2， 再 由 后 者 进一步 转发 。 当 然 ， 如 果 R2 
没有 在 GE0/0/0 接口 上 激活 ARP-Proxy， 那 么 在 本 环境 中 ，R1 所 发 出 的 ARP Request 将 
势必 无 法 收 到 任何 回应 ， 它 自然 也 就 无 法 将 到 达 3.3.3.3 的 流量 顺利 转发 出 去 。 

3， 配置 场景 三 

当 Rl 采用 如 下 配置 时 : 

[Rl]ip route-static 3.3.3.024 GigabitEthernet 0/0/0 10.1.23.3 

该 静态 路 由 既 指 定 了 下 一 跳 IP 地 址 又 指定 了 出 站 接口 , 因此 这 条 路 由 拥有 了 足够 的 
转发 信息 ， 它 将 被 直接 加 载 到 R1 的 路 由 表 中 一 一 虽然 , 初始 时 R1 的 路 由 表 中 并 没有 到 
达 10.1.23.0/24 的 任何 路 由 信息 。 此 时 R1 认为 3.3.3.0/24 可 以 通过 GE0/0/0 接口 所 直 连 
的 10.1.23.3 到 达 ， 因 此 R1 并 不 会 在 路 由 表 中 对 下 一 跳 地 址 10.1.23.3 进行 递归 查询 。 

当 有 去 往 3.3.3.0/24 的 流量 到 达 R1 时 ，R1 将 直接 在 GE0/0/0 接口 上 发 送 ARP 
Request， 尝 试 请 求 10.1.23.3 这 个 IP 地 址 对 应 的 MAC 地址。 此 时 如 果 R2 的 GE0/0/0 接 
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口 激活 了 ARP-Proxy， 则 会 以 自己 的 接口 MAC 地 址 进行 回应 ， 数 据 帧 则 可 以 到 达 R2， 
再 由 了 2 转发 到 目的 地 ， 和 否则 数据 帧 无 法 被 Rl1 顺利 发 出 。 当 然 ， 这 种 静态 路 由 的 配置 方 
式 并 不 被 建议 。 

4. 配置 场景 四 

当 R1 采用 如 下 配置 时 : 

[R1lip route-static 3.3.3.0 24 10.1.23.3 

初始 时 ， 该 路 由 并 不 会 被 加 载 到 及 1 的 路 由 表 ， 因 为 其 下 一 跳 耻 地址 10.1.23.3 无 法 
经 递归 查询 确认 和 直 连 的 出 接口 《该 路 由 本 喘 并 未 指定 出 接口 ， 与 此 同时 R1 在 路 由 表 中 
也 无 法 查询 到 去 往 10.1.23.3 的 路 由 )。 

此 时 在 R1 上 增加 静态 路 由 : ip route-static 10.1.23.0 255.255.255.0 10.1.12.2， 则 到 
达 3.3.3.0/24 及 10.1.23.0/24 的 路 由 都 会 出 现在 R1 的 路 由 表 中 ，R1 根据 路 由 表 将 路 由 
3.3.3.0/24 的 下 一 跳 10.1.23.3 进行 递归 碍 询 ， 它 能 够 找到 匹配 10.1.23.3 的 路 由 表 项 ， 并 
且 该 表 项 的 下 一 跳 IP 地 址 为 10.1.12.2， 进 一 步 在 路 由 表 中 查询 10.1.12.2， 则 发 现 该 IP 
地 址 处 于 本 地 直 连 网 段 10.1.12.0/24 中 ， 且 出 接口 为 GE0/000。 因 此 R1 获取 了 足够 的 转 
发 信息 ， 当 其 转发 到 达 3.3.3.3 的 流量 时 , 将 其 从 GE0/0/0 接口 发 出 ,下 一 跳 为 10.1.12.2。 


1.3 动态 路 由 协议 及 分 类 


前 面 已 经 为 大 家 介绍 了 路 由 喜 对 于 直 连 路 由 的 发 现 过 程 ， 以 及 静态 路 由 的 概念 和 部 
署 要 点 。 对 于 一 个 小 型 网 络 ， 静 态 路 由 或 许 已 经 能 够 满足 需求 ， 但 是 在 大 中 型 网 络 中 ， 
由 于 网 段 数 量 特别 多 、 网 络 拓扑 复杂 等 原因 ， 仅 仅 使 用 静态 路 由 来 实现 数据 互通 显然 是 
不 太 现实 的 一 一 配置 及 维护 工作 量 都 太 大 , 再 者 静态 路 由 无 法 动态 地 啊 应 网 络 拓扑 变更 。 
此 时 就 需要 考虑 男 一 种 方案 一 一 动态 路 由 协议 (Dynamic Routing Protocol) 了 。 

当 我 们 在 路 由 右上 激活 了 动态 路 由 协议 后 ， 束 相当 于 激活 了 路 由 占 的 某 种 能 力 ， 路 
由 峰之 间 就 能 够 交互 路 由 信息 或 者 用 于 路 由 计算 的 数据 ， 而 当 网 络 拓扑 发 生变 更 时 ， 动 
态 路 由 协议 能 够 感知 这 些 变 化 并 且 目 动 地 作出 啊 应 ， 从 而 使 得 网 络 中 的 路 由 信息 适应 新 
的 拓扑 ， 这 种 动作 完全 由 协议 自动 完成 ， 无 需 人 为 干预 。 因 此 在 一 个 规模 较 大 的 网 络 
中 ， 我 们 往往 会 使 用 动态 路 由 协议 ， 或 者 静态 路 由 与 动态 路 由 协议 相 结合 的 方式 来 建 
设 该 网 络 。 

动态 路 由 协议 有 很 多 ， 而 分 类 的 方法 也 存在 多 种 。 基 于 协议 算法 不 同 ， 可 以 将 动态 
路 由 协议 分 成 两 类 : 一 类 是 距离 矢量 路 由 协议 (Distance Vector Routing Protocol); 另 一 
类 是 链 路 状态 路 由 协议 (Link State Routing Protocol)。 


1.3.1 ”距离 矢量 路 由 协议 

距离 矢量 路 由 协议 指 的 是 基于 距离 矢量 的 路 由 协议 ，RIP 是 最 具 代 表 性 的 距离 矢量 
路 由 协议 ， 本 书 将 在 “RIP” 一 章 中 介绍 这 个 协议 。“ 距 离 矢 量 ” 这 个 概念 包含 两 个 关键 
的 信息 :“ 上 距离 ”和 “方向 ” 其 中 “距离 ” 指 的 是 到 达 目 标 网 络 的 度量 值 ， 而 方向 指 的 
是 到 达 该 目标 网 络 的 下 一 跳 设备 。 
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一 台 运 行距 离 矢 量 路 由 协议 的 路 由 器 都 会 周期 性 地 将 自己 的 路 由 表 通 告 出 去 ， 其 
直 连 的 路 由 器 会 收 到 这 些 路 由 信息 ， 在 学 习 前 者 通告 的 路 由 并 更 新 自己 的 路 由 表 后 ， 它 
也 会 向 自己 直 连 的 路 由 器 通告 其 路 由 表 ， 最 终 网 络 中 的 每 台 路 由 器 都 能 获知 到 达 各 个 网 
段 的 路 由 ， 这 个 过 程 被 称 为 路 由 的 泛 洪 《Flooding) 过 程 。 
下 面 粗 略 地 看 一 下 距离 矢量 路 由 协议 的 工作 过 程 。 在 图 1-18 中 , R1 及 R2 两 台 路 由 
器 直 连 。 初 始 情况 下 R1 及 R2 都 只 知道 自己 “家 门口 的 情况 ” 也 就 是 说 ，R1 及 R2 都 
自动 发 现 了 自己 直 连 接口 的 路 由 。R1 在 其 路 由 表 中 写 入 192.168.12.0/24 及 1.0.0.0/8 两 条 
直 连 路 由 ,而 R2 则 在 其 路 由 表 中 写 入 192.168.12.0/24 这 一 条 直 连 路 由 。 当 然 此 刻 R2 是 
无 法 访问 1.0.0.0/8 的 ， 因 为 在 它 的 路 由 表 中 并 没有 任何 能 够 到 达 这 个 网 段 的 路 由 信息 。 


路 由 1.0.0.0/8， 度 量 值 为 1 


路 由 192.168.12.0/24， 度 量 值 为 1 数据 流量 


GE0O/0/0 


192.168.12.1/24 
1.0.0.0/8 
GE0O/0/0 


Ri 192.168.12.2/24 RR2 


图 1-18 距离 矢量 路 由 协议 的 基本 工作 机 制 


在 R1 和 R2 上 激活 距离 矢量 路 由 协议 后 ，R1 将 已 经 发 现 的 路 由 (1.0.0.0/8 及 192. 
168.12.0/24) 通过 路 由 协议 报 文通 告 给 R2， 这 两 条 路 由 各 附带 着 一 个 度量 值 。 以 距离 矢 
量 路 由 协议 的 典型 代表 RIP 为 例 ， 它 使 用 跳 数 (Hop Count) 作为 路 由 的 度量 值 ， 所 谓 跳 
数 就 是 到 达 目 的 网 段 所 需 经 过 的 路 由 器 的 个 数 , 直 连 网 段 的 度量 值 被 视 为 0 跳 。R1 将 两 
条 直 连 路 由 通告 给 R2 时 ， 为 路 由 设置 的 跳 数 为 1， 因 为 :“ 我 家 门口 的 这 些 网 段 对 于 我 
自己 而 言 可 以 直接 到 达 〈 只 需 0 跳 ),， 现 在 别人 要 经 过 我 来 访问 该 网 段 ， 就 需要 加 上 我 这 
一 跳 2 

由 于 192.168.12.0/24 是 R2 自己 的 直 连 网 段 ， 因 此 R2 会 忽略 R1 通告 过 来 的 、 到 达 
该 网 段 的 路 由 更 新 ， 而 1.0.0.0/8 路 由 对 于 R2 而 言 是 未 知 的 ， 因 此 R2 将 这 条 路 由 加 载 进 
路 由 表 ， 同 时 为 该 条 路 由 关联 度量 值 : 1 跳 ， 并 且 把 路 由 的 通告 者 R1 视 为 该 条 路 由 的 下 
一 跳 。 于 是 当 R2 要 转发 到 达 1.0.0.0/8 的 数据 包 时 , 就 会 将 数据 包 发 给 下 一 跳 路 由 器 R1。 
形象 点 的 理解 就 是 :“R2 认为 1.0.0.0/8 可 以 通过 R1 到 达 ， 目 己 与 该 网 段 距 离 1 跳 路 由 
器 ”这 就 是 “距离 矢量 ”名 称 的 由 来 。 运 行距 离 矢 量 路 由 协议 的 路 由 器 并 不 了 解 网 络 的 

拓扑 结构 ， 该 路 由 器 只 知道 : 
。 自己 与 目的 网 络 之 间 的 距离 ; 
e 从 哪个 方向 可 到 达 目 的 网 络 。 


1.3.2” 链 路 状态 路 由 协议 


链 路 状态 路 由 协议 与 距离 矢量 路 由 协议 不 同 ， 运 行 链 路 状态 路 由 协议 的 路 由 器 会 使 
用 一 些 特殊 的 信息 描述 网 络 的 拓扑 结构 及 人 P 网 段 ,这 些 信息 被 称 为 链 路 状态 (Link State) 
言 轧 ， 所 有 的 路 由 器 都 会 产生 描述 目 己 直 连 接口 状况 的 链 路 状态 信息 。 路 由 需 将 网 络 中 
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所 泛 洪 的 链 路 状态 信息 都 搜集 起 来 并 且 存 入 一 个 数据 库 中 ， 这 个 数据 库 就 是 LSDB 
(Link-State Database， 链 路 状态 数据 库 )，LSDB 可 以 视 为 对 整个 网 络 的 拓扑 结构 及 IP 网 
段 的 描绘 ， 所 有 路 由 器 拥有 对 该 网 络 的 统一 认 知 ， 接 下 来 所 有 的 路 由 吉 都 基于 LSDB 使 
用 特定 的 算法 进行 计算 ， 计 算 的 结果 是 得 到 一 棵 以 目 己 为 根 的 、 无 环 的 最 短路 径 树 ， 并 
将 基于 这 棵 树 得 到 的 路 由 加 载 到 路 由 表 中 。 和 典型 的 链 路 状态 路 由 协议 有 OSPF 及 IS-IS， 
关于 这 两 个 路 由 协议 的 详细 内 容 ， 请 阅读 本 书 相 关 章 下 。 

以 上 为 大 家 展示 的 是 基于 协议 算法 的 不 同 所 进行 的 路 由 协议 分 类 。 实 际 上 路 由 协议 
还 存在 其 他 分 类 方法 ， 例 如 根据 工作 范围 的 不 同 ， 动 态 路 由 协议 可 分 为 两 类 : 一 类 称 为 
IGP 〈Jnterior Gateway Protocol， 内 部 网 关 协 议 )， 例 如 RIP、OSPF、IS-IS 等 ， 男 一 类 称 
为 EGP (Exterior Gateway Protocol, 外 部 网 关 协 议 ), 例如 BGP (Border Gateway Protocol ) 
等 。IGP 被 用 于 在 AS (Autonomous System， 自 治 系统 ) 内 部 实现 路 由 信息 的 交互 ， 而 
EGP 则 被 用 于 在 AS 之 间 实 现 路 由 信息 的 交互 。 关 于 AS 的 传统 定义 是 ， 由 一 个 单一 的 
机 构 或 组 织 所 管理 的 一 系列 IP 网 络 及 其 设备 所 构成 的 集合 , 我 们 可 以 人 简单 地 将 AS 理解 
为 一 个 独立 的 机 构 或 者 企业 所 管理 的 网 络 ， 例 如 一 家 网 络 运 营 商 的 网 络 等 。 


1.4 最 长 前 组 匹配 


最 长 前 级 匹配 机 制 (Longest Prefix Match Algorithm) 是 目前 行业 内 几乎 所 有 的 路 由 
器 都 缺 省 采用 的 一 种 路 由 查询 机 制 。 当 路 由 器 收 到 一 个 IP 数据 包 时 ， 它 会 将 数据 包 的 目 
的 卫 地 址 与 自己 本 地 路 由 表 中 的 所 有 路 由 
表 项 进行 逐 位 (Bit-By-Bit) 比 对 ， 直 到 找 
到 匹配 度 最 长 的 条 目 , 这 就 是 最 长 前 级 匹配 
机 制 。 下面 通过 一 个 例子 来 详细 地 讲解 这 个 
机 人 制 。 

在 图 1-19 展示 的 网 络 中 ， 路 由 如 R4 
的 路 由 表 中 除了 直 连 路 由 之 外 ， 还 有 三 条 
路 由 ， 它 们 分 别 是 172.16.1.0/24、172.16. 
2.0/24 以 及 172.16.0.0/16, 这 三 个 路 由 条 目 
分 别 关 联 不 同 的 出 接口 和 下 一 跳 卫 地 址 。 
那么 当 R4 收 到 一 个 到 达 172.16.2.1 数据 
包 时 ， 它 将 把 数据 包 转 发 给 哪 一 台 路 由 
厂 呢 ? 

大 致 上 ，R4 将 进行 如 下 操作 。 

(1) 将 报 文 的 目的 ,IP 地 址 172.16.2.1 
和 路 由 条 目 1 的 目的 网 络 掩 码 255.255.255.0 进行 “逻辑 与 ”运算 ,将 运算 结果 与 路 由 条 
目 1 的 目的 网 络 地 址 的 前 面 24bit (比特 ， 也 就 是 二 进 制 的 位 〉 进 行 比 对 ， 如 图 1-20 所 
示 ， 结 果 发 现 有 两 个 比特 位 不 相同 ， 因 此 判断 出 这 个 目的 下 地 址 与 路 由 条 目 1 不 匹配 。 
R4 将 不 会 使 用 这 条 路 由 转发 到 达 172.16.2.1 的 数据 包 。 
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图 1-19 观察 R4 的 路 由 表 
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图 1-20 目的 亿 地 址 与 路 由 条 目 1 的 目的 网 络 掩 码 进行 与 运算 ， 
运算 结果 与 路 由 条 目 1 的 目的 网 络 地 址 进行 比 对 
(2) 将 目的 他 地 址 172.16.2.1 和 路 由 条 目 2 的 目的 网 络 掩 码 255.255.255.0 进行 “ 软 
辑 与 ”运算 , 将 运算 结果 与 路 由 条 目 2 的 目的 网 络 地 址 的 前 面 24bit 进行 比 对 ， 如 图 1-21 
所 示 ， 发 现 每 一 个 比特 位 都 是 相同 的 ， 因 此 该 目的 外 地 址 匹配 这 条 路 由 ， 而 且 匹 配 结果 
是 172.16.2.0/24， 也 就 是 说 匹配 长 度 为 24。 
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图 1-21 目的 IP 地 址 与 路 由 条 目 2 的 目的 网 络 掩 码 进 行 与 运算 ， 
运算 结果 与 路 由 条 目 2 的 目的 网 络 地 址 进行 比 对 


(3) 将 目的 他 地 址 172.16.2.1 和 路 由 条 目 3 的 目的 网 络 掩 码 255.255.0.0 进行 “逻辑 
与 ”运算 ， 将 运算 结果 与 路 由 条 目 3 的 目的 网 络 地 址 的 前 面 16bit 进行 比 对 ， 如 图 1-22 
所 示 ， 发 现 每 一 个 比特 位 都 是 相同 的 ， 因 此 该 目的 他 地 址 匹配 这 条 路 由 ， 而 且 匹 配 结果 
是 172.16.0.0/16， 也 就 是 说 匹配 长 度 为 16。 

(4) 有 两 条 路 由 匹配 目的 了 地 址 172.16.2.1， 路 由 条 目 2 的 匹配 结果 为 172.16.2.0/24， 
而 路 由 条 目 3 的 匹配 结果 为 172.16.0.0/16, 因此 条 目 2 的 匹配 度 更 长 , 最 终 R4 将 采用 路 
由 条 目 2 来 转发 到 达 172.16.2.1 的 数据 包 ， 这 些 数 据 包 被 转发 给 R2 

经 过 上 文 的 介绍 ， 相 信 大 家 对 最 长 前 纪 i 总 的 并 妈 |， 实际 上 ， 目 前 行 
业内 几乎 所 有 厂商 的 路 由 器 缺 省 都 在 使 用 该 机 制 。 而且 ， 利 用 这 个 机 制 还 能 实现 数据 传 
答 路 径 的 元 余 或 负载 分 担 。 

在 图 1-23 所 示 的 某 企 业 网 络 中 ，EBR-1 及 EBR-2 是 两 台 企业 边界 路 由 器 ， 它 们 连 
接着 一 个 企业 网 络 ， 在 该 网 络 中 ， 存 在 着 192.168.0.0/24、192.168.1.0/24、192.168.2.0/24 
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及 192.168.3.0/24 4 个 网 段 ， 两 台 企 业 边 界 路 由 桌 都 具备 到 达 上 述 网 段 的 IP 连通 性 。 现 
在 路 由 右 义 与 EBR-1 及 EBR-2 建立 了 了 连接， 并且 运行 了 了 RIP， 企业 对 EBR-1 及 EBR-2 
有 着 完全 的 操控 权限 ， 但 是 对 X 并 不 具备 操控 权限 ， 只 能 简单 地 将 路 由 信息 通告 给 又 。 
现在 ， 企 业 的 要 求 是 ， 通 过 在 EBR-1 及 EBR-2 上 完成 相应 的 配置 ， 使 得 X 将 到 达 上 述 
4 个 网 段 的 数据 包 转 发 到 EBR-1， 当 EBR-1 发 生 故 障 时 ，X 将 数据 包 平 滑 地 切换 到 EBR-2。 
要 实现 上 述 需 求 非常 简单 ， 即 让 EBR-1 向 X 通告 到 达 192.168.0.0/24、192.168.1.0/24、 
192.168.2.0/24 及 192.168.3.0/24 这 4 个 网 段 的 路 由 , 而 EBR-2 仅 癌 X 通 告 一 条 192.168.0.0/ 22 
路 由 ， 实 际 上 这 条 路 由 是 这 4 个 网 段 的 汇总 路 由 ， 可 以 简单 地 理解 为 192.168.0.0/22 将 
192.168.0.0/24、192.168.1.0/24、192.168.2.0/24 及 192.168.3.0/24 都 囊括 在 内 。 关 于 汇总 路 
由 的 概念 ， 本 书 将 在 1.5 节 中 详细 介绍 。 完 成 上 述 部 葡 后 ，X 的 路 由 表 中 将 出 现 $ 条 RIP 
路 由 。 在 网络 正常 时 ， 发 往 这 4 个 网 段 的 数据 包 在 到 达 X 后 ， 根 据 最 长 匹配 原则 ， 报 文 的 
目的 卫 地 址 将 被 EBR-1 所 通告 的 4 条 路 由 所 匹配 ， 因 此 被 X 转发 给 EBR-1， 而 当 EBR-1l 
或 EBR-1 与 X 之 间 的 互联 链 路 发 生 故 障 时 ，X 的 路 由 表 中 原来 EBR-1 所 通告 的 4 条 路 由 
消失 ， 仅 剩 EBR-2 所 通告 的 路 由 ， 因 此 到 达 这 4 个 网 段 的 数据 包 将 被 该 路 由 匹配 ， 从 而 
被 转发 给 EBR-2， 这 就 实现 了 数据 转发 路 径 的 元 余 。 
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图 1-22 目的 人 Px 地 址 与 路 由 条 目 3 的 目的 网 络 掩 码 进行 与 运算 ， 
运算 结果 与 路 由 条 目 3 的 目的 网 络 地 址 进行 比 对 










192.168.0.0/24 
192.168.1.0/24 
192.168.2.0/24 
192.168.3.0/24 
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RIP 路 由 : 192.168.0.0/24 
RIP 路 由 : 192.168.1.0/24 
RIP 路 由 : 192.168.2.0/24 
RIP 路 由 : 192.168.3.0/24 


图 1-23 利用 最 长 前 缀 匹配 实现 数据 传输 路 径 的 见 余 
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1.5 路 由 汇总 


随 着 业务 对 网 络 的 需求 不 断 增 加 ， 网 络 的 规模 在 逐渐 变 大 。 对 于 一 个 大 规模 的 网 络 
来 说 ， 路 由 器 或 其 他 具备 路 由 功能 的 设备 势必 需要 维护 大 量 的 路 由 表 项 ， 为 了 维护 及 肿 
的 路 由 表 ， 这 些 设 备 就 不 得 不 耗费 大 量 的 资源 。 当 然 ， 在 一 个 规模 更 大 的 路 由 表 中 进行 
查询 时 ， 路 由 器 也 会 显得 更 加 吃力 。 因 此 在 保证 网 络 中 的 路 由 器 到 各 网 段 都 具备 卫 可 达 
性 的 同时 ， 如 何 减 小 设备 的 路 由 表 规 模 就 是 一 个 非常 重要 的 课题 。 一 个 网 络 如 果 有 具备 科 
学 的 PP 编 址 ， 并 且 进 行 合理 的 规划 ， 是 可 以 利用 多 种 手段 减 小 设备 路 由 表 规 模 的 。 一 个 
非常 常见 而 又 有 效 的 办 法 就 是 使 用 路 由 汇总 (Route Summarization 或 Route Aggregation )。 
路 由 汇总 又 被 称 为 路 由 聚合 ， 是 将 一 组 有 规律 的 路 由 汇聚 成 一 条 路 由 ， 从 而 达到 减 小 路 
由 表 规 模 以 及 优化 设备 资源 利用 率 的 目的 ， 我 们 把 汇聚 之 前 的 这 组 路 由 称 为 精细 路 由 或 
明细 路 由 ， 把 汇聚 之 后 的 这 条 路 由 称 为 汇总 路 由 或 聚合 路 由 。 

在 图 1-24 所 示 的 网 络 中 ， 对 于 R1 而 言 ， 如 果 要 到 达 R2 右 侧 的 192.168.1.0/24、 
192.168.2.0/24……192.168.255.0/24， 自 然 是 要 有 路 由 的 ， 关 手工 为 每 个 网 段 配置 一 条 带 
态 路 由 ， 这 就 意味 看 要 给 R1 手工 配置 255 条 静态 路 由 ， 显 然 工 作 量 太 大 了 ，R1 的 路 由 
表 也 将 变 得 非常 腔 肿 。 
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汇总 路 由 | jp route-static 192.168.0.0 16 10.1.12.2 


图 1-24 在 RI 上 部 署 路 由 汇总 


您 可 能 会 想到 ， 在 这 个 场景 中 如 果 不 在 R1 上 配置 这 些 静 态 路 由 ， 而 是 使 用 一 条 指 
问 R2 的 默认 路 由 似乎 就 可 以 解决 上 述 问 题 ， 通 过 这 条 默认 路 由 ，R1 能 够 到 达 R2 右 侧 
的 所 有 网 段 ， 而 且 其 路 由 表 被 极 大 地 精简 了 。 但 是 默认 路 由 的 “ 壬 粒度 ” 太 大 ， 无 法 做 
到 对 路 由 更 为 细致 的 控制 ， 而 且 如 果 R1 的 其 他 接口 还 连接 了 一 条 出 口 链 路 并 且 已 经 在 
这 个 出 口上 使 用 了 默认 路 由 ， 那 么 这 里 只 能 为 想 他 法 了 。 

路 由 汇总 可 以 很 好 地 解决 这 个 问题 。 原 来 需 使 用 255 条 明细 路 由 ， 而 运用 路 由 汇总 
的 思想 后 ， 仅 仅 使 用 一 条 路 由 即 可 实现 相同 的 效果 ， 例 如 在 Rl1 上 进行 如 下 配置 : 


[Rl1lip route-static 192.168.0.0 16 10.1.12.2 


以 上 的 配置 便 是 在 R1 上 创建 一 条 静态 的 汇总 路 由 ， 该 路 由 的 目的 网 络 地 址 及 掩 公 
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长 度 为 192.168.0.0/16。192.168.0.0/16 实际 上 是 将 192.168.1.0/24、192.168.2.0/24…… 
192.168.255.0/24 这 些 网 段 都 “ 除 括 ”在 内 了 。 在 R1 上 使 用 这 样 配置 ， 一 个 直接 的 好 处 
就 是 其 路 由 表 条 目 数量 大 大 减少 了 。 

路 由 汇总 是 一 个 非常 重要 的 网 络 设计 思想 ， 通 常 在 一 个 大 中 型 网 络 的 设计 过 程 中 ， 
必须 时 刻 考 虑 网 络 及 路 由 的 可 优化 性 ， 其 中 路 由 的 可 汇总 性 往往 就 是 一 个 非常 关键 的 指 
标 。 在 这 个 例子 中 实际 上 是 部 署 了 静态 的 路 由 汇总 ， 当 然 ， 几 乎 所 有 的 动态 路 由 协议 也 
都 文 持 路 由 汇总 功能 。 

路 由 的 汇总 实际 上 是 通过 对 目的 网 络 地 址 和 网 络 掩 码 的 灵活 操作 实现 的 ， 形 象 的 理 
解 就 是 ， 用 一 个 能 够 赛 括 这 些小 网 段 的 大 网 段 来 替代 它们 。 然 而 汇总 路 由 的 计算 是 要 非 
党 谨慎 和 精确 的 ， 否 则 可 能 导致 路 由 的 紊乱 ， 如 图 1-25 所 示 的 例子 。 


















172.16.1.0/24 172.16.32.0/24 
172.16.2.0/24 172.16.33.0/24 


汇总 路 由 : 172.16.0.0/16 
下 一 跳 R1] 


图 1-25 汇总 路 由 需要 谨慎 把 控 


为 了 让 R2 能 够 到 达 R1 左 侧 的 网 段 ， 出 于 网 络 优 化 的 目的 , 我 们 为 其 配置 了 一 条 静 
态 的 汇总 路 由 : 

[R2]ip route-static 172.16.0.0 16 10.1.12.1 

虽然 这 确实 起 到 了 网 络 优 化 的 目的 ， 但 是 ， 这 条 汇总 路 由 太 “ 粗 六” 了 ， 它 甚至 将 
R3 右 侧 的 网 段 也 赛 括 在 内 ， 如 此 一 来 ， 去 往 R3 右 侧 网 段 的 数据 包 在 到 达 R2 后 ， 就 有 
可 能 被 R2 转发 到 R1， 从 而 导致 数据 包 的 丢失 ， 我 们 称 这 种 路 由 汇总 行为 不 够 精确 。 因 
此 ,一 种 理想 的 方式 是 ， 为 R2 配置 一 条 “刚刚 好 ” 宫 括 所 有 明细 路 由 〈 例 如 R1 左 侧 的 
这 些 网 段 ) 的 汇总 路 由 ， 这 样 一 来 就 可 以 避免 汇总 不 够 精确 的 问题 。 





“他 一 个 网 络 能 够 部 署 路 由 汇总 的 前 提 是 该 网 络 中 IP 编 址 及 网 络 设计 具备 一 定 的 科 
学 性 和 合理 性 ， 如 果 网 络 规划 得 杂乱 无 章 ， 路 由 汇总 部 署 起 来 就 相当 困难 甚至 完全 不 具 
备 可 实施 性 到 0 


那么 如 何 进行 汇总 路 由 的 精确 计算 呢 ? 下 面 再 来 看 一 个 例子 : 现 有 明细 路 由 : 
172.16.1.0/24、172.16.2.0/24……*172.16.31.0/24， 请 计算 出 关于 这 些 明细 路 由 的 、 最 精确 
的 汇 电 路 由 〔 换 句 话说 ， 计 算出 一 个 掩 码 长 度 最 长 的 汇总 路 由 )。 

大 家 要 做 的 事情 非常 何 单 ， 将 明细 路 由 的 目的 网 络 地 址 都 换算 成 二 进 制 ， 然 后 排列 起 
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来 ， 找 出 所 有 目的 网 络 地 址 中 “相同 的 比特 位 ”由 于 这 些 明细 路 由 的 目的 网 络 地 址 是 连续 
的 ， 因 此 实际 上 只 要 挑 出 首尾 的 两 到 三 个 目的 网 络 地 址 来 计算 就 足够 了 ， 具 体 的 过 程 如 下 。 

(1) 将 这 些 IP 地 址 写成 二 进 制 形式 ， 然 后 按 图 1-26 所 示 进 行 排列 ， 实 际 上 只 要 考 
虑 第 三 个 8 位 组 即 可 ， 因 为 只 有 它 是 在 变化 的 。 

(2) 接着 画 一 根 竖 线 ， 要 求 是 ， 这 根 线 的 左 侧 每 一 列 的 二 进 制 数值 都 是 一 样 的 ， 而 
线 的 右 侧 则 无 所 谓 ， 可 以 是 变化 的 ， 这 根 线 的 最 终 位 置 ， 就 标识 了 汇总 路 由 的 掩 码 长 度 。 
注意 ， 这 根 竖 线 可 以 从 默认 的 掩 码 长 度 ,， 例如 24 开始 ， 一 格 一 格 地 往 左 移 ， 直 到 线 的 左 
端 每 一 列 数值 都 相等 时 即 可 停 下 ， 这 时 候 ， 这 根 线 所 处 的 位 置 就 刚刚 好 。 这 样 一 来 就 找 
出 了 所 有 明细 路 由 的 目的 网 络 地 址 中 共同 的 比特 位 。 

(3) 如 图 1-26 所 示 ， 线 的 位 置 是 19， 所 以 经 计算 得 到 汇总 路 由 的 目的 网 络 地 址 及 掩 码 
长 度 172.16.0.0/119， 这 就 是 一 个 最 精确 的 汇总 地 址 ， 换 句 话说 ， 是 一 个 掩 人 码 最 长 的 汇总 地 址 。 
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i 
相同 的 比特 (共计 19 个 比特 ) 变化 的 比特 


汇总 路 由 网 络 地 址 < ~ < p> 
172 16 0 0 
图 1-26 汇总 路 由 的 精确 计算 


[R2jip route-static 172.16.0.0 19 10.1.12.1 
[R2]ip route-static 172.16.32.0 19 10.1.23.3 


也 就 是 将 R1 左 侧 的 网 段 进 行 精确 汇总 ， 得 到 汇总 网 络 地 址 及 挫 码 长 度 : 172.16. 
0.0/19， 然 后 在 R2 上 配置 相应 的 静态 汇总 路 由 ， 将 下 一 跳 配 置 为 R1; 将 R3 右 侧 的 网 段 
进行 精确 汇总 ， 得 到 汇总 网 络 地 址 及 掩 人 码 长 度 : 172.16.32.0/19， 然 后 也 在 R2 上 配置 相 
应 的 静态 汇总 路 由 ， 并 将 下 一 跳 配 置 为 R3。 

路 由 汇总 是 一 个 非常 重要 的 网 络 优化 思维 ， 然 而 如 果 处 理 不 当 ， 也 有 可 能 市 来 数据 
转发 的 环 路 。 在 图 1-27 中 ，R1 左 侧 连接 着 192.168.0.0/24、192.168.1.0/24 及 192.168.2.0/24 
三 个 网 段 ， 为 了 让 它们 能 够 访问 Internet，R1 配置 了 指向 R2 的 默认 路 由 。 而 为 了 让 这 些 
网 段 访 问 Internet 的 回程 流量 能 够 顺利 返回 ， 又 为 了 精简 路 由 表 ，R2 配置 了 一 条 静态 汇 
总 路 由 192.168.0.0/22， 且 下 一 跳 为 R1。 这 样 做 看 似 没 什么 问题 ， 但 是 却 存 在 一 个 不 小 
的 隐患 。 考 虑 这 样 一 种 情况 : 有 一 个 网 络 攻击 者 连接 到 了 R1， 它 开始 同 R1 发 送 大 量 垃 
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圾 数据 包 ， 这些 数据 包 的 目的 IP 地 址 是 192.168.3.0/24 子 网 中 的 随机 地 址 (该 子 网 在 R1 
上 并 不 存在 )， 以 发 往 192.168.3.1 的 垃圾 报 文 为 例 ， 该 报 文 首先 被 发 送 到 R1， 后 者 通过 
路 由 表 查 询 后 发 现 数据 包 的 目的 IP 地 址 只 能 匹配 默认 路 由 , 因此 将 其 转发 给 默认 路 由 的 
下 一 中: R2, 然而 R2 经 过 路 由 表 查 询 后 ， 发现 数 据 包 的 目的 IP 地 址 匹配 路 由 表 中 的 汇总 
路 由 192.168.0.0/22， 因 此 又 将 数据 包 转 发 给 R1，R1 又 将 报 文 转发 回 R2， 至 此 就 产生 
了 环 路 ， 发 往 192.168.3.1 的 垃圾 报 文 将 不 断 地 在 R1 与 R2 之 间 被 来 回转 发 ， 直 到 它们 
的 TTL (CTime To Live) 值 递 减 到 0 时 才 被 丢弃 。 设 想 一 下 ， 如 果 攻 击 者 持续 发 送 大 量 
的 垃圾 数据 包 ， 那 么 R1 及 R2 的 性 能 必 将 受到 极 大 的 冲击 ， 并 且 两 者 之 间 互 联 链 路 的 
带宽 也 将 迅速 被 抢占 ， 合 法 的 网 络 流量 势必 受到 影响 ， 业 务 可 能 会 出 现 卡 顿 甚至 中 断 
的 现象 。 


ip route-static 0.0.0.0 0 10.1.12.2 ip route-static 192.168.0.0 22 10.1.12.1 


192.168.0.0/24 
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192.168.2.0/24 
1-27 路 由 汇总 存在 的 隐患 


数据 转发 路 径 若 出 现 环 路 , 产生 的 危害 是 非常 大 的 , 针对 本 案例 的 解决 办 法 很 简单 ， 
在 R1 上 增加 一 条 黑洞 路 由 : 让 route-static 192.168.0.0 22 Null0 即 可 。 这 条 路 由 的 出 接 
口 非常 特殊 ， 是 Null0， 这 是 一 个 系统 保留 的 逻辑 接口 ， 当 路 由 器 在 转发 某 些 数据 包 时 ， 
如 果 使 用 出 接口 为 Null0 的 路 由 ， 那 么 这 些 报 文 将 被 直接 丢弃 ， 就 像 被 扔 进 了 一 个 黑洞 
里 。 关 于 黑洞 路 由 的 概念 及 进一步 的 内 容 ， 本 书 将 在 1.6 节 中 介绍 。 

在 Rl 的 配置 中 增加 这 条 黑洞 路 由 之 后 ， 当 其 收 到 发 往 192.168.3.0/24 这 个 在 Rl1 上 
并 不 存在 的 网 段 的 非法 报 文 时 ， 就 会 直接 丢弃 这 些 报 文 ， 而 不 会 再 转发 给 R2 了 ， 因 为 
这 些 报 文 的 目的 地 址 匹配 这 条 指向 Null0 的 路 由 。 当 然 ，R1 如 果 收 到 目的 地 址 为 
192.168.0.0/24、192.168.1.0/24 及 192.168.2.0/24 这 三 个 网 段 的 数据 包 时 ， 会 把 它们 从 相 
应 的 直 连 接口 转发 出 去 ， 而 不 会 丢弃 ， 因 为 这 三 个 网 段 在 R1 的 路 由 表 中 存在 直 连 路 由 ， 
而 相 比 于 黑洞 路 由 ， 这 些 直 连 路 由 的 掩 码 更 长 。 

利用 Null0 路 由 来 解决 路 由 汇总 场景 中 的 数据 转发 环 路 问题 ， 是 一 种 有 效 晶 常见 的 
解决 方案 。 这 个 思路 在 部 署 路 由 汇总 的 时 候 非常 关键 。 


1.6 黑洞 路 由 
一 般 来 说 ， 一 条 路 由 无 论 是 静态 的 或 者 是 动态 的 ， 都 需要 关联 到 一 个 出 接口 ， 路 由 


的 出 接口 指 的 是 设备 要 到 达 一 个 目的 网 络 时 的 出 站 接口 。 路 由 的 出 接口 可 以 是 该 设备 的 
物理 接口 ， 如 百 兆 、 于 兆 以 太 网 接口 ， 也 可 以 是 逻辑 接口 ， 如 VLAN 接口 (VLAN 
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Interface)， 或 者 是 隧道 《Tunnel) 接口 等 。 在 众多 类 型 的 出 接口 中 ， 有 一 种 接口 非常 特 
殊 ， 那 就 是 Null 无效) 接口 ， 这 种 类 型 的 接口 只 有 一 个 编号 ， 也 就 是 0。Null0 是 一 个 
系统 保留 的 逻辑 接口 ， 当 网 络 设备 在 转发 某 些 数据 包 时 ， 如 果 使 用 出 接口 为 Null0 的 路 
由 ， 那 么 这 些 报 文 将 被 直接 丢弃 ， 就 像 被 扔 进 了 一 个 黑洞 里 ， 因 此 出 接口 为 Null0 的 路 
由 又 被 称 为 黑洞 路 由 。 

黑洞 路 由 是 一 种 颇 有 用 处 的 路 由 。 在 图 1-28 中 ，R1 的 GE0/0/0 连接 着 一 个 终端 网 
络 ， 处 于 该 终端 网 络 的 PC 将 默认 网 关 设 置 为 Rl1 的 GE0/0/0 接口 IP 地址， 而 为 了 让 PC 

能 够 访问 R2 右 侧 的 服务 噩 网 络 ， 我 们 在 R1 上 配 症 了 一 条 狼 认 路 由 : 


[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 


192.168.12.2 





图 1-28 黑洞 路 由 的 部 署 案例 


当 PC 访问 本 地 网 段 192.168.1.0/24 之 外 的 资源 (包括 服务 器 网 络 中 所 有 的 网 段 ) 时 ， 
流量 都 会 先 被 发 往 R1, 然后 由 R1 转发 给 R2。 现在 网 络 中 出 现 这 样 一 个 需求 : 在 服务 器 
网 络 中 ， 有 一 个 特殊 的 网 段 一 一 192.168.200.0/24 并 不 希望 被 PC 访问 ， 能 否 仅 仅 通过 路 
由 的 配置 来 实现 这 个 需求 ? 答案 是 肯定 的 ， 使 用 黑洞 路 由 便 可 。R1 可 增加 如 下 配置 : 

[Rllip route-static 192.168.200.0 255.255.255.0 NULLO 

使 用 上 述 命令 可 为 R1 增加 了 一 条 到 达 192.168.200.0/24 的 路 由 , 而 且 该 条 路 由 的 出 
接口 是 Null0。 完 成 上 述 配 置 后 ， 先 查看 一 下 R1 的 路 由 表 : 


<Rl>display ip routing-table 
Route Flags: R - relay, D -download to fib 
Routing Tables: Public 

Destinations : 12 Routes ; 12 


-— Destination/Mask Proto ”Pre，Cost Flags NextHop Interface nD 
0.0.0.0/0 Static 60 0 RD 192.168.12.2 GigabitEthernet0/0/1 
127.0.0.0/8 Direct “0 0 D 127.0:0.1 InLoopBack0 
127.0.0.1/32 Direct ,0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 “Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet0/0/0 
192.168.1.254/32 “Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.1.255/32 ”Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.12.0/24 Direct 0 0 D I O68.12.1 GigabitEthermet0/0/1 
192.168.12.1/32 “Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.200.0/24 和 网 0 0.0.0.0 NULLO 
255.255.25$.255/32 0 127.0.0.1 InLoopBack0 


从 路 由 表 中 ， 大 家 可 以 看 到 我 们 为 R1 所 配置 的 黑洞 路 由 。 现 在 ， 当 PC 访问 192. 
168.200.0/24 时 ， 数 据 包 先 被 送 到 默认 网 关 R1，R1 通过 路 由 表 查 询 ， 发 现 数据 包 的 目的 
IP 地 址 匹配 路 由 192.168.200.0/24， 而 该 条 路 由 的 出 接口 是 Null0， 因 此 它 将 数据 包 直 接 
丢弃 。 如 此 一 来 ，PC 将 无 法 再 访问 192.168.200.0/24。 实 际 上 ， 这 是 一 种 实现 流量 过 滤 
的 简单 而 又 有 效 的 方法 。 

当然 ， 黑 洞 路 由 除了 在 上 述 场景 中 使 用 ， 还 能 用 于 各 种 其 他 场景 ， 例 如 : 
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。 在 部 署 了 路 由 汇总 的 网 络 中 ， 用 于 防止 数据 转 友 出 现 环 路 。 

e 在 部 署 了 NAT (Network Address Translation， 网 络 地 址 转换 ) 的 网 络 中 ， 用 于 防 
止 数据 转发 出 现 环 路 。 

。 在 BGP 网 络 中 ， 用 于 发 布 特定 网 段 的 路 由 。 


1.7 路 由 表 与 FIB 表 


具备 路 由 功能 的 华为 数 通 产品 《例如 路 由 器 、 三 层 交 换 机 等 ， 下 文 以 路 由 噩 为 例 进 
行 讲 解 ) 都 维护 着 两 种 非常 重要 的 数据 表 : 一 是 路 由 表 (Routing table)， 也 被 称 为 路 由 
信息 库 (Routing Information Base, RIB ); 二 是 数据 转发 表 , 也 被 称 转发 信息 库 (Forwarding 
Information Base, FIB )。 

首先 每 台 路 由 器 都 维护 着 一 张 全 局 路 由 表 ， 另 外 路 由 器 所 运行 的 每 种 路 由 协议 也 维 
护 着 该 协议 自己 的 路 由 表 。 对 于 全 局 路 由 表 ， 大 家 已 经 非常 熟悉 了 ， 使 用 display ip 
routing-table 命令 所 输出 的 表格 就 是 全 局 路 由 表 。 路 由 器 可 以 通过 多 种 途径 获取 路 由 信 
息 ， 例 如 ， 它 可 以 运行 多 种 动态 路 由 协议 ， 而 通过 每 一 种 动态 路 由 协议 所 获知 的 路 由 信 
息 首 先 存储 于 该 协议 自己 的 路 由 表 中 ， 然 后 路 由 器 根据 路 由 优先 级 和 度量 值 等 信息 来 进 
行路 由 的 优选 ， 并 将 被 优选 路 由 加 载 到 全 局 路 由 表 中 。 为 了 简便 起 见 ， 本 书后 文 如 果 不 
特别 说 明 ， 路 由 表 指 的 就 是 全 局 路 由 表 。 我 们 将 路 由 表 视 为 位 于 路 由 噩 的 控制 平面 ， 如 
图 1-29 所 示 ， 实 际 上 路 由 表 并 不 直接 指导 数据 转发 ， 换 名 话说 ， 路 由 器 在 执行 路 由 得 询 
时 ， 并 不 是 在 路 由 表 中 进行 报 文 目 的 地 址 的 查询 ， 真 正 指导 数据 转发 的 是 FIB 表 ， 路 由 
器 将 路 由 表 中 的 活跃 路 由 下 载 到 FIB 表 ， 此 后 如 果 路 由 表 中 的 相关 表 项 发 生变 化 ，FIB 
表 也 将 立即 同步 。 由 于 两 张 表 的 一 致 性 ， 也 因为 路 由 表 阅 读 起 来 更 加 直观 ， 因 此 在 绝 大 
多 数 场合 中 ， 我 们 在 阐述 路 由 器 数据 转发 过 程 时 ， 会 用 “路 由 器 通过 得 询 路 由 表 来 决定 
数据 转发 的 路 径 ” 这 一 说 法 ， 但 是 需要 注意 ， 实 际 上 ， 路 由 器 查询 的 是 FIB 表 ， 位 于 探 
制 层 面 的 路 由 表 只 是 提供 了 路 由 信息 而 已 。 









OSPF 


rm 


路 由 选择 


控制 平面 


图 1-29 RIB 表 与 FIB 表 
FIB 表 是 位 于 路 由 器 数据 平面 的 表格 ， 实 际 上 它 在 外 观 上 与 路 由 表 非 常 类 似 。FIB 


第 1 章 路 由 基础 39 


的 表 项 被 称 为 转发 表 项 ， 每 条 转发 表 项 都 指定 要 到 达 茶 个 目的 地 所 需 通 过 的 出 接口 及 下 
一 跳 IP 地 址 等 信息 。 路 由 器 将 优选 的 路 由 存储 在 路 由 表 中 ， 而 将 路 由 表 中 活跃 的 路 由 下 
载 到 FIB 表 ， 并 使 用 FIB 表 转 发 数据 。 路 由 表 通 常 是 存储 在 设备 的 动态 内 存 中 ， 例 如 
RAM (Random Access Memory， 随 机 和 存 取 存 储 器 )， 而 FIB 表 中 的 数据 则 往往 被 存储 在 
一 个 ASIC (Application Specific Integrated Circuit， 专 用 集成 电路 ) 中 , 这 使 得 设备 在 FIB 
中 进行 数据 得 询 时 ， 可 以 实现 相当 高 的 速度 。 当 然 ， 用 于 存储 FIB 表 的 空间 是 有 限 的 ， 
因此 在 大 型 的 网 络 中 要 关注 设备 的 路 由 表 规 模 ， 在 保证 数据 可 达 的 前 提 下 ， 通 过 各 种 机 
制 或 手段 来 减 小 设备 路 由 表 的 规模 。 

在 图 1-30 所 示 的 网 络 中 ，R3 的 路 由 表 如 下 : 

<R3>display ip routing-table 

Route Flags; R - relay, D - download to fib 


一 -一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 -一 一 一 一 -一 一 一 一 ee ee ee ee ee er ee ee ee er er ee ep ee 


全 Tables: Public 


Destinations ; 17 Routes : 17 

Destination/Mask Proto Pre Cost Flags NextHop Interface - 
1.1.1.0/24 Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/0 
4.4.4.0/24 RIP 100 1 D 10.1.34.4 GigabitEthernet0/0/1 
$5,5.5.0/24 OSPF 10 1 D 10.1.35.5 GigabitEthernet0/0/2 
10.1.12.0/24 Static 60 0 RD 10.1.23.2 GigabitEthemet0/0/0 
10.1.23.0/24 Direct 0 0 D. 10.1.23.3 GigabitEthernet0/0/0 
10.1.23.3/32 Direct 0 0 D 127.0.0.1 & GigabitEthernet0/0/0 
10.1.23.255/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/0 
10.1.34.0/24 Direct 0 0 D 10.1.34.3 GigabitEthernet0/0/1 
10.1.34.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.1.34.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.1.35.0/24 ”Direct 0 0 D 10.1.35.3 GigabitEthernet0/0/2 
10.1.35.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
10.1:35.255/32 ”Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 

127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 

， 127.0.0.1/32” Direct 0 0 D 127.0.0.1 InLoopBack0 

~127.255,255:255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 

255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 

ee 10 1 23 2/24 10.1.34.4/24 


1.1.1.0/24 


10.1.12.0/24 






| 


10.1.23.0/24 


10.1.35.5/24 








RS 


图 1-30 在 R3 上 查看 路 由 表 及 FIB 表 


从 上 述 输出 可 以 看 出 , R3 配置 了 两 条 静态 路 由 , 分 别 用 于 到 达 1.1.1.0/24 及 10.1.12. 
0/24。 男 外 ，R3 还 运行 了 RIP 及 OSPF， 并 通过 RIP 学 习 到 了 4.4.4.0/24 路 由 ， 通 过 OSPF 
学 习 到 了 5.5.5.0/24 路 由 。 除 此 之 外 ，R3 还 自动 发 现 了 直 连 接口 的 路 由 。 上 述 所 有 的 路 
由 表 项 在 Flags 列 中 均 有 “D” 标 志 ， 这 意味 看 这 些 路 由 都 已 经 下 载 (Download) 到 FIB 
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表 。 留 意 R3 上 的 两 条 静态 路 由 ， 实 际 是 按 如 下 方式 配置 的 : 
[R3]ip route-static 10.1.12.0 255.255.255.0 10.1.23 .2 
[R3]ip route-static 1.1.1.0 255.255.255.0 10.1.12.1 


到 达 1.1.1.0/24 的 这 条 静态 路 由 的 下 一 跳 IP 地 址 是 Ri 的 接口 IP 地 址 ， 该 地 址 并 非 
R3 直 连 可 达 ， 显 然 ，R3 不 可 能 将 到 达 该 网 段 的 数据 包 直 接 转 发 给 R1， 因 为 它 与 Rl 没 
有 直 连 ， 报 文 无 法 “ 隔 空 ”发 送 过 去 ， 男 外 该 条 静态 路 由 也 没有 明确 出 接口 信息 。 因 此 
R3 需要 在 路 由 表 中 以 下 一 跳 地 址 10.1.12.1 为 目的 地 址 进行 查询 ,看 看 是 否 有 与 10.1.12.1 
匹配 的 路 由 表 项 ， 从 而 得 到 路 由 的 出 接口 。R3 的 这 种 行为 被 称 为 路 由 递归 查询 。 由 于 这 
两 条 静态 路 由 均 没 有 指定 出 接口 ， 因 此 都 要 执行 递归 操作 得 到 出 接口 ， 所 以 在 R3 的 路 
由 表 中 ， 这 两 条 路 由 在 Flags 列 中 均 有 “R” 标 志 ，R 意 为 Relay〈 在 此 处 理解 为 递归 )。 

现在 再 来 看 看 R3 的 FIB 表 ， 使 用 display fib 命令 可 以 进行 FIB 的 查看 : 


<R3>display fib 
Route Flags: G - Gateway Route, H - Host Route, U - Up Route 
S - Static Route， D - Dynamic Route,B - Black Hole Route 


L-Vlink Route 
FIB Table: 如 
Total number of Routes ; 17 
Destination/Mask ”Nexthop Flag TimeStamp Interface TunnelID 
40 .29.255/32 127.0.0.1 HU t[479] InLoop0 0x0 
10.1.35.3/32 127.0.0.1 HU t[479] InLoop0 0x0 
10.1.34.255/32 127.0.0.1 HU t[475] InLoop0 0 
10.1.34.3/32 127.0.0.1 HU t[475] InLoop0 0x0 
NE RN HU t[469] InLoop0 0x0 
2 20 HU t[469] InLoop0 | 0x0 
了 55.2755.234375S13 | 127:0.0,1 HU t[25] InLoop0 0x0 
053.255132 7 上 HU t[25] oy InLoop0 xf ~ 
下 人 及 127.0.0.1 HU 2 InLoop0 0x0 
127.0.0.0/8 127.0.0.1 U 二 InLoop0 0x0 
10.1.23.0/24 10.1.23.3 -Ut t[469] GE0/0/0 0x0 
10.1.34.0/24 10,134.3 机 t[475] GE0/0/1 0x0 
10.1.35.0/24 0,1. U t[479] GE0/0/2 0x0 
10.1.12.0/24 10:1.23.2 GSU t[622] GE0/0/0 0x0 
1.1.1.0/24 Vs hh Mee Ye GSU t[633] GE0/0/0 0x0 
44.4.0/24 本.h34.4 DGU t[1132] GEO/O/ 0x0 
5.5.5.0/24 40 DGU t[1794] GE0/0/2 Ox0 


从 上 述 输出 可 以 看 出 ，R3 路 由 表 中 所 有 的 表 项 都 已 经 下 载 到 了 FIB 表 中 ， 并 且 R3 
针对 每 一 条 路 由 都 完成 了 递归 查询 操作 并 得 到 路 由 的 出 接口 以 及 在 直 连 网 络 中 的 下 一 跳 
IP 地 址 。 以 1.1.1.0/24 这 条 路 由 为 例 , 在 FIB 表 中 , Nexthop 为 10.1.23.2, 出 接口 为 GE0/0/0， 
显然 已 经 完成 了 递归 查询 ， 这 大 大 提高 了 路 由 执行 的 效率 。 现 在 当 R3 收 到 一 个 去 往 
1.1.1.0/24 的 数据 包 时 ， 便 在 FIB 中 进行 查询 ， 找 到 匹配 项 1.1.1.0/24 后 ， 即 可 将 数据 转 
发 出 去 ， 而 不 用 再 进行 递归 操作 。 


1.8 当 匮 


1. 《〈 单 选 ) 针对 以 下 明细 路 由 ， 如 果 想 要 部 赣 路 由 汇总 ， 那 么 最 能 精确 宫 括 它们 的 
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汇总 路 由 是 (  )。 
10.1.192.0/24 
10.1.193.0/24 
10.1.194.0/24 
10.1.206.0/24 
10.1.207.0/24 
A. 10.1.192.0/20 B. 10.1.192.0/18 
CG Ol1280/17 D. 10.1.0.0/16 
2. (多 选 ) 以 下 关于 路 由 的 说 法 正确 的 是 (  )。 
A. 路 由 是 一 种 逐 跳 (Hop-By-Hop) 的 行为 ， 也 就 是 说 数据 从 源 被 发 出 ， 直 至 其 到 
达 目 的 地 的 过 程 中 , 处 于 转发 路 径 上 的 路 由 器 都 需要 拥有 到 达 目 的 网 段 的 路 由 。 
B. 在 缺 省 情况 下 ， 静 态 路 由 的 优先 级 比 OSPF 路 由 更 高 。 
C. 在 缺 省 情况 下 ， 直 连 路 由 及 静态 路 由 的 度量 值 均 为 0。 
D. 配置 静态 路 由 时 ， 如 果 该 路 由 的 出 接口 为 以 太 网 接口 ， 则 命令 中 必须 指定 明 
人 确 的 下 一 跳 卫 地址， 否则 通信 将 可 能 出 现 问题 。 
3. 网 络 管理 员 在 路 由 部 上 配置 了 一 条 毅 态 路 由 ， 但 是 查看 该 路 由 从 的 路 由 表 时 却 
并 未 发 现 配 置 完 成 的 静态 路 由 ， 这 种 现象 可 能 是 什么 原因 造成 的 ? 
4. 如 果 菏 人 台 路 由 需 的 路 由 表 如 下 所 示 ， 则 当 该 路 由 堆 收 到 发 往 10.9.9.33 的 报 文 时 ， 
它 会 将 报 文 转发 给 哪 一 个 下 一 跳 *y 为 什么 ? 
<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


| Destinations : 11 Routes : 11 

法 Destination/Mask Proto pre Gost Flags NextHop Interface 
10.9.9.0/27 Static 60 0 RD 10.1.23.3 GigabitEthernet0/0/2 
10.9.9.0/24 Static 60 0 RD 10.1.12.1 GigabitEthernet0/0/1 
10.0.0.0/8 Static 60 0 RD 10.1.24.4 GigabitEthernet0/0/3 


5. 在 图 1-31 中 ,RI1 配置 了 两 条 静态 路 由 ，PC 将 默认 网 关 设 置 为 R1。 此 时 如 果 PC 
访问 位 于 服务 器 网 络 中 的 192.168.1.31， 则 去 回流 量 抵达 默认 网 天 Rl1 后 ，R1 会 如 何 处 
理 ? 为 什么 ? 


ip route-static 192.168.1.0 24 Null0 
ip route-static 192.168.1.0 27 192.168.12.2 





i 192.168.12.2 
服务 器 网 络 


PC RI R2 
图 1-31 PC 访问 192.168.1.31 的 去 向 数据 包 能 否 到 达 目 的 地 
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2.1 RIP 的 基本 概念 


RIP (Routing Information Protocol， 路 由 信息 协议 ) 是 最 典型 的 距离 矢量 路 由 协议 ， 
第 被 用 于 在 小 型 的 网 络 中 交互 路 由 信息 ， 它 是 最 先 得 到 广泛 使 用 的 IGP 协议 ， 由 于 其 工 
作 机 制 相 对 简单 , 因此 一 直 以 来 都 作为 数 通 领域 入 门 动态 路 由 技术 的 协议 被 大 家 所 熟知 。 

目前 RIP 存在 三 个 版 本 , 分 别 是 面向 IPv4 的 RIPvl 和 RIPv2, 以 及 面向 IPv6 的 RIPng。 
本 章 内 容 涵盖 RIPvl 和 RIPV2， 对 于 RIPng 的 讨论 超出 了 本 书 的 范围 ， 请 读者 朋友 们 目 
行 查 阅 相 关 的 文档 书籍 。 学 习 完 本 节 之 后 ， 我 们 应 该 能 

e。 理解 RIP 路 由 更 新 及 接收 机 制 |; 

e 理解 RIP 度量 值 ; 

。 熟悉 RIPv1 及 RIPv2 的 报 文 格式 ; 

。 熟悉 RIP 的 几 种 计时 器 及 其 含义 ; 

e。 就 悉 RIP 的 Silent-Interface 概念 及 配置 。 


2.1.1 ”RIP 路 由 更 新 及 接收 


每 台 RIP 路 由 器 都 维护 着 一 个 RIP 数据 库 (Database)， 在 该 数据 库 中 保存 着 路 由 器 
发 现 的 所 有 RIP 路 由 ， 其 中 包 插 自己 发 现 的 直 连 路 由 以 及 从 其 他 路 由 器 收 到 的 路 由 。 在 
RIP 数据 库 中 的 每 个 路 由 条 目 都 包含 : 目的 网 络 地 址 /网 络 掩 码 、 度 量 值 、 下 一 跳 地 址 、 
老化 计时 器 以 及 路 由 状态 标识 等 信息 。RIP 数据 库 中 的 有 效 路 由 条 目 被 加 载 到 路 由 器 的 
路 由 表 中 。 

台 运 行 RIP 的 路 由 器 周期 性 地 将 自己 的 路 由 表 通 告 出 去 ， 当 路 由 口 收 到 RIP 路 由 

更 新 时 ， 如 果 这 些 路 由 是 目 己 并 未 发 现 的 并 且 是 有 效 的 ， 则 将 其 加 载 到 路 由 表 ， 同 时 设 
置 路 由 的 度量 值 和 下 一 跳 地 址 。 

通过 下 面 这 个 简单 的 示例 ， 大 家 能 够 了 解 到 运行 了 RIP 的 路 由 器 是 如 何 完成 路 由 信 
县 的 学 习 和 收敛 的 。 当 然 这 是 一 个 微观 的 过 程 , 旨 在 帮助 大 家 理解 RIP 的 基本 工作 机 人 制 ， 
在 真实 的 网 络 环境 中 未 必 能 直接 观测 到 相关 现象 。 

1. 路 由 器 初始 启动 

在 图 2-1 所 示 的 网 络 中 ，R1、R2 和 R3 三 台 路 由 器 直 连 ， 图 中 每 台 设 备 的 路 由 表 显 
示 了 路 由 的 目的 网 络 地 址 /网 络 掩 码 、 协 议 类 型 、 度 量 值 及 出 接口 。 现 在 我 们 在 这 三 台 路 
由 器 上 激活 RIP 并 观察 路 由 的 交互 过 程 。 在 初始 情况 下 ， 所 有 的 路 由 器 都 能 目 动 发 现 目 
己 的 直 连 路 由 ， 并 且 将 直 连 路 由 写 入 路 由 表 。 以 R1 为 例 ， 它 在 其 路 由 表 中 加 载 了 192. 
168.12.0/24 及 1.0.0.0/8 两 条 和 耻 连 路 由 。 在 华为 数 通 产品 上 ，RIP 将 直 连 路 由 的 度量 值 视 
为 0 跳 ， 因 为 该 直 连 网 段 就 在 “家 门口 ”所谓 的 “0 跳 ” 指 的 是 到 达 该 网 段 不 需要 经 过 
任何 一 台 路 由 器 。 

2. 初次 交换 路 由 信息 

由 于 R1、R2 及 R3 都 运行 了 RIP, 因此 它们 都 将 目 己 路 由 表 中 的 路 由 通过 RIP 协议 
报 文 周期 性 地 从 所 有 激活 了 RIP 的 接口 通告 出 去 (RIPv1l 使 用 广播 地 址 作为 协议 报 文 的 
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目的 IP 地址 , 而 RIPv2 则 使 用 组 播 地 址 )。 对 于 R2 而 言 , 它 会 将 上 自己 的 路 由 表 从 GE0/0/0 
和 GE0/0/1 接口 通告 出 去 。 以 192.168.23.0/24 路 由 为 例 ，R2 会 将 关于 该 路 由 的 更 新 从 
GE0/0/0 接口 通告 给 R1, 它 将 该 路 由 的 度量 值 设置 为 1 跳 (0 跳 加 1 跳 , 也 就 是 加 上 “和 目 
己 这 一 跳 ”) 一 一 RIP 路 由 器 将 自己 路 由 表 中 的 路 由 通告 出 去 时 将 跳 数 加 1， 而 收 到 该 路 
由 更 新 的 RIP 路 由 器 将 路 由 安装 到 自己 路 由 表 时 则 使 用 这 个 度量 值 。R1 收 到 R2 所 通告 
的 路 由 更 新 后 发 现 192.168.23.0/24 路 由 在 其 路 由 表 中 并 不 存在 ， 于 是 将 该 路 由 “学 习 ” 

过 来 ， 加载 到 路 由 表 中 , 将 路 由 的 度量 值 设置 为 1 跳 (意思 是 目 己 要 到 达 192.168.23.0/24， 
需要 经 过 一 个 RIP 路 由 器 )， 此 外 还 将 该 路 由 的 下 一 跳 设置 为 路 由 的 更 新 源 R2〈 它 从 路 
由 更 新 报 文 的 源 地 址 获得 R2 的 IP 地 址 )， 出 接口 设置 为 GE0/0/0。 













”RI 的 路 由 表 。 _R3 的 路 由 表 
_192.168.12.0/24 | Direct| 0 | GEO/O/ | 





oom [Dict] 0 | GEoo | 


GEO/0/0 GEO/0/0 
192.168.12.1/24 192.168.23.3/24 


300% [Direc| 0 | GE 






GEO/O/1 
1.0.0.1/8 







GE0O/0/0 
192.168.12.2/24 


GE0/O/] 
192.168.23.2/24 








_Destination/Mask | Proto | Cost 
192.168.12.0/24 | Direct| 0 | GEO/0/0 
192.168.23.0/24 | Direct| 0 | GEO/07 | 


图 2-1 初始 时 ， 所 有 的 路 由 器 都 自动 发 现 了 目 己 直 连接 口 的 路 由 


R3 也 会 在 自己 的 GE0/0/0 接口 上 收 到 R2 通告 的 路 由 更 新 ， 并 学 习 到 路 由 192.168. 
12.0/24; 它 将 该 条 RIP 路 由 加 载 到 路 由 表 中 ， 并 将 路 由 的 下 一 跳 设 置 为 R2， 出 接口 设置 
为 GE0/0/0， 度 量 值 设 置 为 1。 而 R2 会 在 自己 的 GE0/0/0 接口 上 收 到 R1 通告 的 路 由 更 
新 ， 在 GE0/0/1 接口 上 收 到 R3 通告 的 路 由 更 新 ， 并 最 终 学 习 到 1.0.0.0/8 及 3.0.0.0/8 路 
由 ， 具 体 过 程 不 再 疼 述 。 

经 过 这 一 轮 路 由 通告 及 学 习 ，R1 能 够 学 习 到 192.168.23.0/24 路 由 ，R2 能 够 学 习 到 
1.0.0.0/8 及 3.0.0.0/8 两 条 路 由 ， 而 R3 能 够 学 习 到 192.168.12.0/24 路 由 ， 如 图 2-2 所 示 。 

3， 路 由 完成 收 化 

由 于 运行 RIP 的 路 由 器 会 周期 性 地 将 自己 的 路 由 表 通 告 出 去 ， 因 此 在 下 一 个 更 新 周 
期 到 来 时 ， 所 有 路 由 器 再 次 将 自己 的 路 由 表 通 告 出 去 。R1 收 到 R2 通告 的 路 由 后 发 现 路 
由 3.0.0.0/8 在 路 由 表 中 并 不 存在 ， 因 此 将 该 条 路 由 学 习 过 来 ， 加 载 到 路 由 表 并 关联 度量 
值 : 2 跳 ， 这 意味 着 R1 要 到 达 3.0.0.0/8 需要 经 过 两 个 路 由 器 。 同 理 ， 男 一 边 的 R3 也 能 
够 从 R2 学 习 到 1.0.0.0/8 路 由 。 如 此 一 来 ， 三 台 路 由 器 都 拥有 了 到 达 全 网 各 个 网 段 的 路 
由 ， 如 图 2-3 所 示 ， 而 且 设 备 的 路 由 表 此 时 已 经 稳定 ， 这 个 阶段 被 称 为 “网 络 中 的 路 由 
己 经 完成 了 收敛 ” 虽然 网 络 中 路 由 器 的 路 由 表 已 经 稳定 , 但 它们 依然 会 周期 性 地 将 目 己 
的 路 由 表 通 过 RIP 通告 出 去 ， 以 确保 路 由 的 有 效 性 。 





46 HCNP 路 由 交换 学 习 指 南 


RI 的 路 由 表 


192.168.12.0/24 GE0/0/ 192.168.23.0/24 pa GEO/0/0 


iaaos omal 0o on| | sooom |ore| 0 | om 
pa | | 


GEO/0/0 GEO/0/0 
GEO/0/1 GEO/0/1 
1 00 1/8 192.168.12.1/24 192.168.23.3/24 3003/8 








GE0/0/0 GEO/0/1 
192.168.12.2/24 192.168.23.2/24 













[DR Poo | Cost | Imerice 
ooog | Rr | 1 | Geo 
oo08 [Rip | 1 [Geoon | 


图 2-2 初次 交换 路 由 信息 


RIP 路 由 更 新 
一 一 


R1 的 路 由 表 R3 的 路 由 表 
eranionmask [Proto | Cost | Treeriace 


TS | Proto [ Cost | imertice 


oo08 [oreo 0 | Geoon | 
os 373034 | Rip | 1 | Gaoon 
0008 | Rw| 2 |Geooo| 


GEO/0/0 GEO/0/0 
GEO/O/ GEUO/O/ 
1001/8 192.168.12.1/24 192.168.23.3/24 3003/8 


8 00 | rw | 1 | ceo 








GE0/0/0 GE0/0/1 
192.168.12.2/24 192.168.23.2/24 
R2 的 路 由 表 


Destinavionmask | Proto | Cost | metice | 
9216812004 | Direct | 0 | GEoon 
16823004 | Dieet | 0 | GEOON1 | 。。 RIP 路由 更 新 
ioom [mrlcool 一 
aooo | Rp | ceool 


图 2-3 路 由 宛 成 收敛 ， 所 有 的 路 由 器 获知 到 达 全 网 各 个 网 段 的 路 由 





2.1.2 ”RIP 路 由 更 新 与 路 由 表 


RIP 是 典型 的 距离 矢量 路 由 协议 ， 在 前 面 的 小 节 中 ， 大 家 已 经 初步 了 解 了 其 基本 工 
作 机 制 ， 从 单 台 RIP 路 由 器 的 角度 看 ， 它 只 是 简单 地 侦 听 直 连 的 RIP 路 由 器 所 通告 的 
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RIP 路 由 更 新 ， 从 该 更 新 中 发 现 RIP 路 由 ， 并 将 学 习 到 的 路 由 加 载 到 路 由 表 中 。 男 一 方 
面 ， 它 也 将 目 己 路 由 表 中 的 RIP 路 由 通告 出 去 ， 以 便 直 连 的 RIP 路 由 器 能 够 学 习 到 。 实 
际 上 ， 对 于 了 RIP 路 由 器 而 言 ， 它 并 不 知晓 整个 网 络 的 拓扑 结构 。 

在 图 2-4 中 ，R1、R2、R3 及 R4 运行 了 了 RIF， 初始 时 ，R1 及 R3 需 通 过 R2 实现 连 
接 。R1 将 本 地 直 连 网 段 192.168.1.0/24 发 布 到 了 RIP， 从 而 R2 能 够 通过 RIP 学 习 到 该 条 
路 由 , 它 将 路 由 加 载 到 目 己 的 路 由 表 中 , 然后 进一步 通过 RIP 将 该 路 由 通告 给 R3, 同 理 ， 
后 者 学 习 到 路 由 后 将 其 加 载 到 自己 的 路 由 表 中 ， 然 后 通过 RIP 通告 给 R4。 最 终 ， 网 络 中 
的 4 台 路 由 器 都 能 学 习 到 192.168.1.0/24 路 由 。 


192.168.1.0/24 


RI 


~ 
mm 
om 








RIP 路 由 更 新 R4 


图 2-4 RIP 路 由 更 新 与 路 由 表 


现在 Rl1 及 R3 之 间 新 增 了 一 条 高 带宽 链 路 ， 我 们 期 望 将 R3 发 往 192.168.1.0/24 的 
流量 引导 到 这 条 新 增 链 路 上 。 由 于 R1 及 R3 并 不 是 通过 这 有 段 新 增 的 链 路 直接 相连 (中间 
还 有 其 他 设备 )， 因 此 无 法 在 它们 之 间 部 署 RIP 一 一 直 连 的 网 络 设备 之 间 才 能 够 通过 RIP 
交互 路 由 信息 ， 于 是 我 们 在 R3 上 配置 了 到 达 192.168.1.0/24 的 静态 路 由 ， 下 一 跳 从 高 带 
宽 链 路 指 回 ISP。 由 于 静态 路 由 的 优先 级 值 为 60， 而 RIP 路 由 的 优先 级 值 为 100， 显 然 ， 
缺 省 情况 下 静态 路 由 的 优先 级 要 比 RIP 路 由 更 高 , 因此 R3 将 到 达 192.168.1.0/24 的 静态 
路 由 取代 原 有 的 RIP 路 由 加 载 到 目 己 的 路 由 表 中 。 由 于 路 由 表 中 到 达 192.168.1.0/24 的 
RIP 路 由 消失 ， 因 此 R3 将 此 前 通告 给 R4 的 该 条 RIP 路 由 撤销 ， 并 且 在 此 后 其 周期 性 从 
该 接口 发 送 的 RIP 路 由 更 新 中 也 不 再 包含 这 条 路 由 。 换 名 话说 ，R4 无 法 再 通过 RIP 学 
习 到 该 路 由 。 此 时 就 必须 通过 其 他 手段 ， 确 保 R4 能 够 拥有 到 达 该 网 段 的 路 由 。 

从 本 例 大 家 能 够 更 加 直观 地 了 解 RIP 的 工作 过 程 : 从 直 连 路 由 器 收 到 RIP 路 由 更 新 ; 
将 路 由 加 载 到 路 由 表 ; 将 路 由 通告 给 其 他 直 连 路 由 器 。 


2.1.3”， 度量 值 


度量 值 是 一 个 非常 重要 的 概念 。 简 单 地 说 ， 所 谓 度量 值 就 是 指 到 达 目 的 网 络 所 需 的 
代价 或 成 本 。 每 种 路 由 协议 都 定义 了 路 由 的 度量 值 ， 但 是 它们 对 度量 值 的 规定 可 能 不 尽 
相同 ,例如 有 的 路 由 协议 使 用 到 达 目 的 网 络 沿途 需 经 过 的 路 由 器 个 数 作为 路 由 的 度量 值 ， 
而 有 的 协议 则 基于 链 路 带宽 计算 路 由 度量 值 。 度 量 值 的 大 小 将 直接 影响 路 由 器 对 到 达 某 
个 目的 网 段 的 路 由 《或 者 说 路 径 ) 的 优选 。 例 如 当 一 台 路 由 器 发 现 两 条 路 径 可 以 到 达 同 
一 个 目的 地 《或 者 说 路 由 器 从 两 个 不 同 的 下 一 跳 学 习 到 去 往 同 一 个 目的 网 络 的 路 由 ), 并 
且 这 两 条 路 由 都 是 通过 同一 种 路 由 协议 发 现 的 ， 那 么 通常 情况 下 度量 值 更 优 的 那 条 路 由 
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会 被 优选 ， 而 度量 次 优 的 路 由 则 作为 备份 , 只 有 当 最 优 路 由 失效 时 , 次 优 路 由 才 会 被 使 用 。 

RIP 以 跳 数 〈Hop Count) 作为 路 由 的 度量 值 ， 所 谓 的 跳 数 ， 就 是 到 达 目 的 网 络 所 需 
经 过 的 路 由 器 个 数 ， 显 然 RIP 的 度量 值 需 为 非 负 整数 ， 而 且 跳 数 越 少 ， 路 由 被 认为 越 优 。 

在 图 2-5 中 ，R1 到 达 直 连 网 段 1.0.0.0/8 的 度量 值 为 0。 随 着 RIP 更 新 周期 的 到 来 ， 
它 将 该 条 路 由 从 GE0/0/0 接口 通告 出 去 ， 值 得 注意 的 是 ， 在 R1 所 通告 的 路 由 更 新 中 ， 
1.0.0.0/8 路 由 携带 的 度量 值 为 1, 也 就 是 说 , R1 将 该 条 路 由 的 度量 值 加 1 后 才 通 告 给 R2 
R2 收 到 R1 通告 的 路 由 更 新 后 ， 将 1.0.0.0/8 路 由 学 习 过 来 ， 加 载 到 路 由 表 中 ， 并 将 路 由 
的 度量 值 设 置 为 1， 也 就 是 沿用 R1 所 通告 的 度量 值 。 接 大 R2 将 1.0.0.0/8 路 由 从 自己 的 
GE0/0/1 接口 通告 出 去 ， 而 在 R2 所 通告 的 路 由 更 新 中 ， 该 条 路 由 的 度量 值 被 设置 为 2 
一 一 R2 将 路 由 的 度量 值 加 1 后 通告 给 R3。 最 后 ，R3 也 能 学 习 到 1.0.0.0/8 路 由 。 华 为 路 
由 器 运行 RIP 后 ， 认 为 本 地 直 连 路 由 的 跳 数 为 0。 当 RIP 路 由 器 将 一 条 路 由 通告 出 去 时 ， 
路 由 的 跳 数 被 增加 1 跳 ， 而 收 到 这 个 路 由 更 新 的 路 由 器 将 这 条 路 由 加 载 进 路 由 表 时 度量 
值 沿用 该 值 。 


RIP 路 由 更 新 RIP 路 由 更 新 
1.0.0.0/8 跳 数 =] 1.0.0.0/8 跳 数 =2 
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1.0.0.0/8 
















GE0/0/0 GE0O/0/0 
RI1 192.168.12.2/24 R2 192.168.23.3/24 R3 
RI de EE 
ee rcieaesa 
a | 
R2 的 路 由 表 
Destination/Mask | Proto | Cost | Interface | 
REED 
“i | 


图 2-5 RIP 使 用 跳 数 作为 路 由 的 度量 值 


RIP 使 用 跳 数 作为 度量 值 的 设 定 使 得 路 由 器 能 够 直观 地 知道 自己 距离 目的 网 络 的 
“远近 ”。 在 路 由 优选 的 过 程 中 ， 通 过 比较 度量 值 ，RIP 会 从 可 选 路 径 中 选择 一 条 到 达 目 
的 网 络 的 最 优 路 径 ， 所 谓 最 优 也 就 是 跳 数 最 小 。 在 图 2-6 中 ， 假 设 所 有 路 由 器 都 运行 了 
RIP， 则 R5 会 将 路 由 5.0.0.0/8 通告 给 R2 和 R4， 通 告 时 路 由 的 度量 值 设 置 为 1 跳 ， 在 收 
到 这 条 路 由 更 新 后 ，R2 会 把 这 条 路 由 通告 给 R1 并 告知 度量 值 为 2 跳 ， 如 此 一 来 ，R1 
便 发 现 了 一 条 到 达 5.0.0.0/8 的 路 由 。 男 一 方面 ，R4 从 R5 学 习 到 5.0.0.0/8 路 由 后 会 进 一 
步 通告 给 R3, 而 R3 又 会 将 其 通告 给 R1, 这 样 R1 又 发 现 了 男 一 条 到 达 5.0.0.0/8 的 路 由 。 
此 刻 对 于 Rl 而 言 ， 有 两 条 路 由 可 以 到 达 5.0.0.0/8， 那 么 R1 就 会 进行 最 优 路 由 的 选择 ， 
拥有 更 少 跳 数 的 路 由 将 被 优选 并 最 终 被 加 载 到 路 由 表 中 作为 数据 转发 的 依据 。 因 此 在 RI 
的 路 由 表 中 ，5.0.0.0/8 路 由 的 下 一 跳 是 R2。 

通过 跳 数 来 度量 到 达 目 的 网 络 的 远近 非常 简单 和 直观 ， 但 是 也 存在 一 个 明显 的 问 
题 。 在 上 文 介绍 的 这 个 例子 中 ， 如 果 网 络 链 路 带宽 不 一 臻 ，RIP 的 这 种 度量 值 的 设计 就 
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可 能 导致 路 径 选择 不 合理 。 如 图 2-7 所 示 ， 网 络 中 的 链 路 带宽 是 不 一 致 的 ， 但 是 RIP 并 
不 关心 链 路 的 带宽 ， 它 只 关心 到 达 目 的 地 沿途 需 经 过 的 路 由 器 个 数 ， 因 此 即使 R1 一 R3 
一 R4 一 R5 这 条 路 径 的 沿途 链 路 带宽 要 比 另 一 条 路 径 高 得 多 ， 但 由 于 这 条 路 径 的 跳 数 更 
大 ， 因 此 它 将 永远 不 会 被 R1 选择 作为 到 达 5.0.0.0/8 的 路 径 《〈 除 非 另 一 条 路 径 失 效 )， 这 
显然 是 不 合理 的 。 在 这 种 场景 中 ， 网 络 管理 员 可 以 通过 对 RIP 路 由 的 度量 值 进行 适当 地 
调整 一 一 例如 ， 将 低 带 宽 路 径 的 RIP 路 由 的 度量 值 增加 一 个 特定 的 量 ， 使 得 其 不 被 目标 
设备 优选 ， 进 而 影响 数据 流量 的 转发 路 径 。 
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So $.0.0.0/8 


RS 
a 路 由 更 新 
5.0.0.0/8 跳 数 =] 





RIP 路 由 更 
5.0.0.0/8 跳 数 =3 


RIP 路 由 更 新 
5.0.0.0/8 跳 数 =2 


图 2-6 RIP 路 由 上 优 选 跳 数 更 少 的 路 由 





图 2-7 RI1l 依然 优选 R2 通告 过 来 的 5.0.0.0/8 路 由 ， 虽 然 经 R2 到 达 
该 目的 网 段 的 路 径 是 低 带 宽 路 径 


2.1.4 报 文 类 型 及 格式 


RIP 的 协议 报 文 采用 UDP 封装 ， 报 文 的 源 、 目 的 端口 均 是 UDP520 端口 。RIP 定义 
了 两 种 报 文 , 它们 分 别 是 请 求 (Request) 报 文 和 啊 应 (Response) 报 文 。 RIPv1 和 RIPv2 
在 协议 报 文 各 个 字段 的 定义 中 存在 些许 差异 ， 这 些 差异 实际 上 是 两 个 版 本 工作 机 制 的 
不 同 所 造成 的 。Request 报 文 用 于 回 邻 居 请 求全 部 或 部 分 RIP 路 由 信息 ， 而 Response 
报 文 则 用 于 发 送 RIP 路 由 更 新 ， 在 Response 报 文中 携带 着 路 由 以 及 该 路 由 的 度量 值 等 
言 息 。 

一 旦 路 由 器 的 某 个 接口 激活 RIP 后 ， 该 接口 立即 发 送 一 个 Request 报 文 和 Response 
报 文 ， 并 开始 侦 听 RIP 协议 报 文 。 随 后 接口 开始 Response 报 文 的 周期 性 发 送 。RIPv1 使 
用 广播 地 址 255.255.255.255 作为 协议 报 文 的 目的 IP 地 址 ， 而 RIPv2 则 不 同 ， 它 使 用 组 
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播 IP 地 址 224.0.0.9 作为 协议 报 文 的 目的 IP 地 址 。 当 RIP 路 由 器 收 到 Request 报 文 后 ， 
会 使 用 Response 报 文 进行 回应 ,在 该 报 文中 携带 对 方 所 请 求 的 路 由 信息 。 当 RIP 路 由 融 
收 到 Response 报 文 后 ,会 解析 出 该 报 文中 所 携带 的 路 由 信息 ， 如 果 报 文中 的 路 由 信息 是 
自己 尚未 发 现 的 ， 并 且 路 由 的 度量 值 有 效 ， 则 路 由 器 将 学 习 该 路 由 并 将 路 由 加 载 进 路 由 
表 ， 同 时 为 这 条 路 由 关联 度量 值 、 出 接口 和 下 一 跳 信 息 。 

1.RIPv1 的 报 文 结构 

RIPvl 报 文 (如 图 2-8 所 示 ) 中 各 个 字段 的 含义 如 下 。 

。 命令 字段 Command): 该 字段 用 于 标识 RIP 报 文 的 类 型 。 

图 值 为 1 时 该 报 文 为 Request 报 文 ,用 于 向 直 连 路 由 器 请 求全 部 或 部 分 路 由 信息 。 
国 值 为 2 时 该 报 文 为 Response 报 文 ， 用 于 发 送 路 由 更 新 ， 该 报 文 可 以 作为 对 

Request 报 文 的 回应 , 也 可 以 是 路 由 器 目 主 友 送 的 , 例如 周期 性 发 送 路 由 更 新 或 者 触 友 性 
发 送 路 由 更 新 。 一 个 Response 报 文中 最 多 可 携带 25 个 路 由 条 目 ， 当 等 发 送 的 路 由 数量 
大 于 该 值 时 ， 需 使 用 多 个 Response 报 文 。 

。 版 本 字段 (Version): 在 RIPv1 中 ， 该 字段 的 值 为 1。 

。 地 址 族 标 识 符 (Address Family Identifier，AFI): 该 字段 值 为 2 时 表示 IP 协议 。 
如 果 该 报 文 为 Request 报 文 并 且 是 用 于 向 直 连 路 由 器 请 求 其 整 张 路 由 表 ， 则 该 字段 值 被 
设置 为 0, 同时 这 个 Request 报 文中 包含 且 只 包含 一 个 路 由 条 目 , 该 路 由 的 目的 网 络 地 址 
为 0.0.0.0， 度 量 值 为 16。 

。 IP 地 址 (IPAddress): 路 由 的 目的 网 络 地 址 。 

。 度量 值 (Metric): 路 由 的 度量 值 。 

值得 注意 的 是 ，RIPv1 的 Response 报 文中 并 不 携带 路 由 的 目的 网 络 掩 码 。 


Ct 


图 2-8 RIPvl 报 文 格式 
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2. RIPV2 的 报 文 结构 

RIPv2 报 文 《如 图 2-9 所 示 ) 中 各 个 字段 的 含义 如 下 。 

e。 命令 字段 (Command): 与 RIPvl 类 似 ， 不 再 性 述 。 

。 版 本 字段 (Version): 在 RIPv2 中 ， 该 字段 的 值 为 2。 

e。 地 址 族 标识 符 (Address Family Identifier): 与 RIPvl 类 似 ， 不 再 歼 述 。 

。 路 由 标记 (Route Tag): 用 于 为 路 由 设置 标记 信息 ， 缺 省 为 0。 当 一 条 外 部 路 由 
被 引入 RIP 从 而 形成 一 条 RIP 路 由 时 ，RIP 可 以 为 该 路 由 设置 路 由 标记 ， 当 这 条 路 由 在 
整个 RIP 域内 传播 时 ， 路 由 标记 不 会 丢失 。 

。 IP 地 址 (IPAddress): 路 由 的 目的 网 络 地 址 。 
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e 网 络 掩 码 (Netmask): RIPv1 路 由 帮 在 通告 路 由 时 是 不 携 市 目的 网 络 掩 人 码 的 ， 这 
是 因为 在 RIPv1 的 报 文中 并 没有 定义 相应 的 字段 ,这 使 得 RIPv1 无 法 文 持 VLSM( Variable 
Length Subnet Mask， 可 变 长 子 网 掩 码 )。RIPv2 在 这 一 点 上 做 了 了 改进， 定义 了 该 字段 用 
于 存储 路 由 条 目的 目的 网 络 掩 码 ， 如 此 一 来 ，RIPv2 便 能 够 支持 VLSM。 

。 下 一 跳 (Next Hop): RIPv2 定义 了 该 字段 , 使 得 路 由 喜 和 在 多 路 访问 网 络 上 可 以 避 
免 次 优 路 径 现 象 。 一 般 情况 下 ， 在 路 由 器 所 发 送 的 路 由 更 新 中 ， 路 由 条 目的 “下 一 跳 ” 
字段 会 被 设置 为 0.0.0.0， 此 时 收 到 该 路 由 的 路 由 峰 将 路 由 条 目 加 载 到 路 由 表 时 ， 将 路 由 
的 更 新 源 视 为 到 达 目 的 网 段 的 下 一 跳 。 在 某 些 特殊 的 场景 下 ， 该 字段 值 会 被 设置 为 非 
0.0.0.0， 本 章 将 在 “下 一 跳 字段 ”一 节 中 介绍 该 字段 。 

。 度量 值 (Metric): 该 路 由 的 度量 值 。 


下 一 跳 (32bit) 


度量 值 (32bit) 


图 2-9 RIPv2 的 报 文 结 构 
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2.1.5 计时 器 


RIP 定义 了 多 个 计时 器 ， 其 中 最 重要 的 三 个 计时 器 如 下 。 

。 更 新 计时 器 (Update Timer): 该 计时 器 的 时 间 为 RIP 路 由 器 周期 性 泛 潜 路 由 表 
(周期 性 在 接口 上 发 送 Response 报 文 ) 的 时 间 间 隐 。 在 缺 省 情况 下 ， 中 由 絮 以 30s 为 周 
期 从 已 经 激活 RIP 的 接口 问 外 发 送 Response 报 文 。 

如 果 一 个 网 络 中 有 多 台 RIP 路 由 器 接 入 ,每 台 路 由 器 所 有 激活 RIP 的 接口 如 果 在 更 
新 计时 器 超时 后 一 齐 泛 洪 Response 报 文 , 就 有 可 能 引发 不 必要 的 冲突 或 者 使 得 同一 时 间 
内 网 络 中 充斥 着 大 量 的 RIP 广播 或 组 播报 文 。 为 了 避免 这 个 问题 ，RIP 引入 一 个 随机 的 
偏 移 量 ， 也 就 是 路 由 卉 不 以 严格 的 30s 为 周期 发 送 RIP 报 文 ， 而 是 在 该 时 间 的 基础 上 关 
联 一 个 随机 的 、 细 小 的 偶 移 量 〈 加 / 减 0 一 5s)。 

。 老化 计时 器 (Age Timer): 每 一 条 RIP 路 由 都 关联 两 个 计时 器 ， 其 中 之 一 就 是 老 
化 计时 器 (也 被 称 为 超时 计时 器 )。 当 一 条 RIP 路 由 被 学 习 并 加 载 到 路 由 表 时 ， 路 由 器 
立即 为 该 路 由 启动 老化 计时 器 〈 缺 省 180s)， 该 计时 器 被 启动 后 即 开始 计时 。 此 后 每 当 
更 新 周期 来 临时 ， 路 由 器 会 再 次 收 到 该 条 路 由 的 更 新 ， 老 化 计时 器 又 被 重 置 并 重新 开始 
计时 。 以 华为 AR2200 路 由 器 为 例 ， 若 一 条 路 由 持续 未 被 刷新 并 最 终 导致 老化 计时 口 超 
时 ， 路 由 则 变 为 不 可 用 并 从 路 由 表 中 删除 ， 虽 然 被 立即 从 路 由 表 中 删除 ， 但 该 条 路 由 依 
然 被 保存 在 RIP 数据 库 中 (以便 路 由 随时 能 够 恢复 )， 在 老化 计时 器 超时 的 同时 ， 该 路 
由 的 垃圾 回收 计时 器 也 被 立即 启动 。 值 得 注意 的 是 ， 对 于 老化 计时 器 已 超时 的 失效 RIP 
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路 由 ， 依 然 会 被 包含 在 路 由 器 对 外 发 送 的 Response 报 文 中 ， 只 不 过 路 由 的 度量 值 被 设置 
为 16 跳 ， 即 不 可 达 。 

e。 垃圾 回收 计时 器 (Garbage-Collect Timer): 垃圾 回收 计时 器 缺 省 被 设置 为 120s。 
上 文 已 经 说 到 ， 当 一 条 RIP 路 由 的 老化 计时 嚣 超时， 该 条 路 由 会 变 为 不 可 用 并 被 设备 从 
路 由 表 中 删除 ， 但 是 依然 被 保存 在 RIP 数据 库 中 ， 同 时 设备 立即 为 该 路 由 启动 垃圾 回收 
计时 器 。 在 垃圾 回收 计时 占 计 数 的 这 段 时 间 ，RIP 路 由 器 在 泛 洪 路 由 更 新 时 将 该 条 路 由 
的 度量 值 设置 为 16 跳 , 以 便 告 知 其 他 路 由 器 关于 该 网 络 的 不 可 达 情 况 。 若 连 该 计时 器 也 
超时 ， 则 路 由 便 被 彻底 删除 。 

在 RIP 配置 视图 下 ， 使 用 times rip 命令 可 以 修改 上 述 三 个 计时 器 的 时 间 值 ， 该 命 
令 可 指定 三 个 参数 ， 分 别 对 应 RIP 的 路 由 更 新 时 间 间 隔 、 老 化 时 间 以 及 垃圾 回收 时 间 。 
例如 : 

[Huaweilrip 1 

[Huawei-rip-l ]timers rip 35 190 200 

完成 上 述 配 置 后 ， 华 为 网 络 设备 的 RIP 的 路 由 更 新 时 间 间 隔 、 老 化 时 间 以 及 垃圾 回 
收 时 间 将 分 别 被 修改 为 35s、190s 及 200s。 


2.1.6 Silent-Interface 


在 缺 省 情况 下 ， 一 旦 路 由 器 的 某 个 接口 激活 了 RIP，RIP 就 开始 在 该 接口 周期 性 地 
发 送 Response 报 文 ， 同 时 也 在 该 接口 上 侦 听 RIP 报 文 。 
在 图 2-10 所 示 的 网 络 中 ， 为 了 让 PC 与 R2 直 连 的 
192.168.2.0/24 网 段 实现 互通 ， 就 必须 让 R2 学 习 到 
192.168.1.0/24 路 由 ， 让 R1 学 习 到 192.168.2.0/24 路 由 。 
如 果 在 R1 及 R2 之 间 部 署 RIP， 那 么 对 于 R1 而 言 ， 需 要 
在 其 GE0/0/1 及 GE0/0/2 接口 上 都 激活 RIP。 如 此 一 来 ， 
R1 便 会 在 这 两 个 接口 上 发 送 Response 报 文 ， 当 然 ， 也 会 
在 这 两 个 接口 上 侦 听 RIP 报 文 。R1 会 将 携带 了 192.168. 
1.0/24 路 由 的 Response 报 文 从 GE0/0/2 接口 发 送出 去 ,使 
得 R2 能 够 学 习 到 该 路 由 ， 它 也 会 将 Response 报 文 (携带 
了 192.168.12.0/24 以 及 从 R2 学 习 到 的 路 由 ) 从 GEO/O/1 
接口 发 送出 去 。 但 实际 上 ， 这 些 RIP 报 文 对 于 其 GE0/0/11 《要 …… os 
接口 所 连接 的 网 段 来 说 是 没有 任何 意义 的 一 一 这 里 没有 ”192.168.1.0/24 
任何 RIP 路 由 器 , 因此 RI1 在 该 网 段 中 所 发 送 的 Response 国 2-10 RI D1 接口 一 旦 
报 文 实际 上 给 PC 带 来 了 人 额外 的 负担 。 人 

使 用 Silent-Interface (静默 接口 ) 特性 可 以 解决 这 个 
问题 。 一 个 RIP 接口 一 旦 被 指定 为 Silent-Interface， 则 该 接口 将 不 再 发 送 RIP 报 文 ， 而 
只 是 被 动 地 接收 RIP 报 文 ， 也 就 是 只 收 不 发 。 所 以 在 本 例 中 ， 如 果 将 R1 的 GE0/0/1 接 
口 激活 RIP 同时 配置 为 Silent-Interface， 则 R1 不 再 向 GEO/OV1 接口 发 送 Response 报 文 ， 
这 就 消除 了 PC 为 解析 RIP 报 文 所 产生 的 资源 损耗 。 

男 一 方面 ， 虽然 GE0/0/1 接口 被 指定 为 Silent-Interface, 但 是 由 于 该 接口 已 经 激活 了 


192.168.2.0/24 






GE0/0/2 
192.168.12.1/24 


Response 报 文 | GEO/0/1 
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RIP， 因 此 当 R1 从 其 他 接口 发 送 Response 报 文 时 ， 依 然 会 在 报 文 中 携带 192.168.1.0/24 
路 由 信息 ,也 就 是 说 ,将 GE0/0/1 接口 设置 为 Silent-Interface 并 不 妨碍 R2 通过 RIP 学 习 
到 该 接口 的 路 由 。 最 后 需 强调 的 是 ，Silent-Interface 接口 仅仅 是 不 向 外 泛 洪 Response 报 
文 ， 但 是 它 依然 可 以 接收 Response 报 文 。 


\ 


2.2 RIP 的 防 环 机 制 


对 于 具备 路 由 功能 的 网 络 设备 来 说 ， 当 其 执行 数据 转发 操作 时 ， 路 由 表 是 一 个 非 
常 关键 的 指引 ， 如 果 网 络 中 的 路 由 信息 出 现 问 题 ， 那 么 设备 的 数据 转发 过 程 也 势必 受 
到 影响 。 路 由 环 路 (Routing Loop) 是 一 种 在 路 由 部 署 不 恰当 或 网 络 规 划 不 合理 等 情况 
发 生 后 ， 很 容易 引发 的 一 类 问题 。 如 果 网 络 中 的 路 由 信息 不 正确 ， 将 导致 去 往 某 个 目 
的 地 的 数据 包 在 设备 之 间 不 停 地 被 来 回转 发 ， 从 而 严重 影响 设备 性 能 ， 并 且 大 量 消耗 
网 络 带 宽 ， 影 响 正 常 的 业务 流量 ， 这 种 问题 被 称 为 路 由 环 路 问题 。 路 由 环 路 对 于 网 络 
而 言 是 具有 严重 危害 的 ， 任 何 一 个 网 络 规划 、 设 计 或 交付 人 员 都 应 该 重视 并 且 严 格 规 
避 该 问题 。 几 乎 所 有 的 动态 路 由 协议 在 协议 设计 时 便 考 虑 了 路 由 环 路 的 规避 机 制 ，RIP 
也 不 例外 。 

学 习 完 本 节 之 后 ， 我 们 应 该 能 够 : 

。 理解 RIP 路 由 坏 路 产生 的 背景 ; 

。 了 解 RIP 路 由 最 大 跳 数 的 概念 及 意义 ; 

。 熟悉 RIP 水 平分 割 特性 ; 

e。 就 悉 RIP 毒性 逆转 特性 ; 

。 就 悉 RIP 触发 更 新 特性 ; 

。 熟悉 RIP 毒性 路 由 的 概念 及 作用 。 


2.2.1 ” 环 路 的 产生 


距离 矢量 路 由 协议 只 是 简单 地 将 自己 的 路 由 表 周 期 性 地 通告 出 去 ， 同 时 也 将 收 到 的 
有 效 路 由 加 载 到 路 由 表 中 ， 并 通过 累加 的 度量 值 来 体现 到 达 目 标 网 络 的 距离 ， 因 此 运行 
距离 矢量 路 由 协议 的 路 由 器 并 不 了 解 整 个 网 络 的 拓扑 结构 ， 这 些 特 点 使 得 网 络 中 非常 容 
易 出 现 路 由 环 路 。 

在 图 2-11 中 ，R1 及 R2 都 运行 了 RIP， 当 网 络 完成 收敛 后 ，R2 通过 RIP 学 习 到 了 
1.0.0.0/8 路 由 。 现 在 R1 的 GE0/0/1 接口 发 生 了 故障 ，R1 感知 到 这 个 拓扑 变化 并 且 立 即 
在 路 由 表 中 删除 1.0.0.0/8 路 由 。 然 而 这 个 拓扑 的 变更 对 于 R2 来 说 此 时 并 不 知晓 ，R1 准 
备 在 下 一 个 更 新 周期 到 来 时 通告 该 条 路 由 的 不 可 达 情 况 。 但 是 此 时 完全 有 可 能 出 现 的 一 
种 情况 是 ， 在 R1 通告 这 个 更 新 之 前 ，R2 的 更 新 周期 到 了 ， 它 开始 在 目 己 的 GE0/0/0 接 
口上 发 送 Response 报 文 ， 该 报 文中 包含 R2 路 由 表 中 的 所 有 路 由 ， 其 中 就 包括 1.0.0.0/8 
路 由 ， 且 该 路 由 的 跳 数 为 2 (R2 自己 到 达 该 网 段 需 经 过 1 个 路 由 器 ， 因 此 它 将 路 由 更 新 
出 去 时 将 跳 数 加 1)。R1 收 到 这 个 Response 报 文 后 ， 发 现 1.0.0.0/8 竟然 通过 R2 可 达 且 
跳 数 为 2， 于 是 它 将 1.0.0.0/8 路 由 加 载 到 路 由 表 ， 如 图 2-12 所 示 。 
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GEO/O/1 GEO/0/0 GE0/0/0 
1.0.0.0/8 192.168.12.0/24 
RI R2 
Ri 的 路 由 表 R2 的 路 由 表 
|_Destination/Mask | Proto | Cost | Interface 





192.168.12.0/24 GEO/O/0 





19216812024 | Direct| 0 | GEoon | 
[9 | 


0008 | ew | | Geooo 


图 2-11 R2 通过 RIP 学习 到 了 1.0.0.0/8 路 由 


GEO/O0/l 






Response 报 文 
1.0.0.0/8 路 由 跳 数 =2 
一 一 一 一 一 一 一 
GEO/O/1 GE0/0/0 GE0/0/0 
1.0.0.0/8 192 168 12.0/24 
RI R2 
RI1 的 路 由 表 R2 的 路 由 表 









192 168 120124 | Diveet| 0 | GEoon 


192168 12 004 [Direct| 0 | GEoom 
oo | rp | | ceooo| 


1.0.0.0/8 
图 2-12 路 由 环 路 的 形成 





这 就 出 现 了 路 由 环 路 。 环 路 对 网 络 来 说 危害 是 非常 大 的 。 对 于 目前 的 情况 ， 如 果 R2 
收 到 一 个 发 往 1.0.0.0/8 的 数据 包 , 经 过 路 由 表 查 询 后 ，R2 发 现 自 己 有 一 条 路 由 可 以 匹配 
该 目的 地 址 ， 并 且 下 一 跳 为 R1， 因 此 它 将 数据 包 转 发 给 R1， 而 及 1 经 过 路 由 表 碍 询 ， 发 
现 到 达 1.0.0.0/8 下 一 跳 是 R2， 于 是 数据 包 又 被 转发 给 R2， 如 此 反复 ， 发 往 该 网 段 的 数 
据 包 就 会 在 R1、R2 之 间 不 停 地 来 回转 发 ， 直 到 报 文 的 TTL 值 递 减 为 0。 可 以 想象 ， 如 
果 数 据 流 量 特别 大 的 话 ， 这 无 疑 将 对 路 由 喜 的 性 能 造成 极 大 损耗 ， 当 然 ， 也 可 能 将 链 路 
的 带宽 耗 尽 。 

男 一 方面 ， 由 于 RIP 每 隔 30s 泛 浅 一 次 路 由 表 ， 因 此 1.0.0.0/8 路 由 会 在 每 个 更 新 周 
期 到 来 时 随 厦 Response 报 文 在 网 络 中 不 停 地 被 泛 洪 。 在 R1 的 下 一 个 更 新 周期 到 来 时 ， 
它 会 把 1.0.0.0/8 路 由 通过 Response 报 文 再 通告 给 R2，R2 收 到 该 报 文 后 ， 刷 新 目 己 的 路 
由 表 ， 将 该 路 由 的 跳 数 更 新 为 3 跳 ， 如 图 2-13 所 示 。 而 当 R2 的 更 新 周期 到 来 时 ， 它 将 
在 通告 给 R1 的 Response 报 文中 继续 携带 1.0.0.0/8 路 由 ， 而 且 跳 数 设置 为 4。R1 收 到 该 
Response 报 文 后 刷新 目 己 的 路 由 表 ， 将 该 路 由 的 度量 值 更 新 为 4， 如 此 反复 。 设 想 一 下 ， 
如 果 RIP 没有 任何 机 制 解决 该 问题 ， 那 么 1.0.0.0/8 路 由 岂 不 是 会 在 网 络 中 被 不 断 地 泛 洪 
且 其 度量 值 也 会 持续 累加 到 无 穷 大 ? 

综 上 ， 路 由 环 路 的 问题 对 于 网 络 而 言 危 害 是 巨大 的 ， 因 此 从 网 络 设计 、 协 议 设 计 的 
角度 都 应 该 充分 考虑 到 环 路 的 隐患 及 可 能 性 ， 并 加 以 规避 。 
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Response 报 文 
1.0.0.0/8 路 由 跳 数 =3 
= 


3 GEO/0/0 GEO/0/0 2 
192.168.12.0/24 人 












RI R2 
RI 的 路 由 表 R2 的 路 由 表 
Mask | Proto | Cost | Interface Destination/Mask 


1 os [mal of aaa 


一 os | we | 2 | osooo 





oao | wr sor 


图 2-13” RIP 需 防 止 1.0.0.0/8 路 由 在 网 络 中 被 无 休止 地 传递 


2.2.2 ”定义 最 大 跳 数 


为 了 避免 RIP 路 由 在 网 络 中 被 无 休止 地 泛 洪 ，RIP 定义 了 路 由 的 最 大 跳 数 一 一 15 践 ， 
也 就 是 说 ，RIP 路 由 的 最 大 可 用 跳 数 为 15 跳 ， 当 一 条 路 由 的 度量 值 达 到 16 跳 时 ， 该 路 
由 被 视 为 不 可 用 ， 路 由 所 指 问 的 网 段 被 视 为 不 可 达 。 

显然 这 是 一 种 “无 条 ”的 办 法 ， 虽 然 解决 了 路 由 被 无 限 泛 洪 的 问题 ， 但 是 同时 也 在 
极 大 程度 上 限制 了 RIP 所 能 够 支持 的 网 络 规模 。 设 想 一 下 ， 如 果 一 个 网 络 的 直径 真 的 有 
16 台 路 由 器 该 怎么 办 ? RIP 面 对 这 样 的 网 络 也 就 显得 力不从心 了 。 另 外 ，RIP 定义 路 由 
的 最 大 跳 数 ， 虽 然 有 效 防止 了 RIP 路 由 被 无 限 泛 洪 ， 但 是 却 并 没有 从 根本 上 解决 路 由 环 
路 问题 。 


2.2.3 “水平 分割 


水 平分 割 CSplit Horizon) 的 原理 是 ，RIP 路 由 器 从 某 个 接口 收 到 的 路 由 不 会 再 从 该 
接口 通告 回去 。 这 个 机 制 在 很 大 程度 上 消除 了 RIP 路 由 的 环 路 隐患 。 

在 图 2-14 所 示 的 网 络 中 ，R1 及 R2 运行 了 RIP， 现 在 R1 将 本 地 直 连 路 由 1.0.0.0/8 
发 布 到 了 RIP， 它 将 通过 Response 报 文 将 该 条 路 由 通告 出 去 ， 路 由 的 度量 值 会 被 设置 为 
1。R2 将 在 自己 的 GE0/0/0 接口 上 收 到 R1 发 送 的 Response 报 文 ， 并 学 习 到 1.0.0.0/8 路 
由 , 它 将 该 条 路 由 加 载 到 自己 的 路 由 表 中 。 当 R2 的 更 新 周期 到 来 时 , 如 果 R2 的 GE0/0/0 
接口 没有 激活 水 平分 割 ， 那 么 它 将 会 在 目 己 从 该 接口 发 送 的 Response 报 文 中 携 市 
1.0.0.0/8 路 由 ， 该 路 由 的 跳 数 被 设置 为 2。 如 此 一 来 ，R1 就 会 从 R2 收 到 原本 由 自己 
通告 出 去 的 RIP 路 由 。 当 然 ， 此 时 R1 会 优选 自己 本 地 直 连 的 这 条 路 由 ， 因 为 它 的 优 
先 级 更 高 ， 但 是 当 R1 的 直 连 网 段 1.0.0.0/8 变 成 不 可 达 时 (关于 该 网 段 的 直 连 路 由 将 
失效 )， 它 会 错误 地 认为 可 以 通过 R2 到 达 该 网 段 于 是 ， 环 路 就 极 有 可 能 发 生 。 这 
个 问题 的 症结 在 于 ，R2 把 R1 告知 它 的 路 由 信息 又 返还 给 了 Rl1， 这 就 埋 下 了 路 由 环 
路 的 隐患 。 

当 R2 的 GE0/0/0 接口 激活 水 平分 割 后 ，R2 将 不 能 把 它 从 该 接口 收 到 的 RIP 路 由 再 
从 这 个 接口 通告 出 去 , 如 图 2-15 所 示 , 如 此 一 来 路 由 环 路 的 问题 就 可 以 得 到 很 好 地 规避 。 
水 平分 割 是 距离 矢量 路 由 协议 的 路 由 防 环 专题 中 最 重要 的 机 制 之 一 。 
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Response 报 文 
1.0.0.0/8 路 由 跳 数 =] 
人 


GOEU/0/0 
1.0.0.0/8 
一 一 一 一 


RI Response 报 文 R2 
1 .0.0.0/8 路 由 跳 数 =2 





图 2-14 如果 R2 的 GE0/0/0 接口 没有 激活 水 平分 割 


Response 报 文 
1.0.0.0/8 路 由 跳 数 =] 
人 


GE0O/0/0 
1.0.0.0/8 


ee -Ta 
RI Response 报 文 R2 


图 2-1$ 当 R2 的 GE0/0/0 接口 激活 水 平分 割 后 ，R2 将 不 能 把 它 从 该 
接口 收 到 的 RIP 路 由 再 从 这 个 接口 通告 出 去 


在 大 多 数 场景 下 ， 水 平分 割 能 够 很 好 地 规避 RIP 路 由 环 路 ， 但 是 在 某 些 特定 的 场景 
中 ， 这 个 机 制 可 能 会 引发 一 点 小 问题 。 如 图 2-16 所 示 ，R1、R2 及 R3 三 台 路 由 器 通过 
巾 中 继 网 络 互 联 ， 采 用 的 是 中 心 到 分 支 ( 也 被 称 为 Hub&Spoke) 的 部 分 互联 模型 ，R1 
与 R2 之 间 拥 有 一 条 互联 的 PVC (Permanent Virtual Circuit， 永 久 虚 电路 )，R1 与 R3 之 
间 存 在 男 一 条 PVC， 但 是 R2 及 R3 之 间 并 疫 有 直接 互联 的 PVC。 需 留意 的 是 ，R1 的 
Seriall/0/0 接口 承载 了 两 条 PVC。 三 台 路 由 器 都 激活 了 RIP， 最 终 R1 能 够 通过 RIP 学 习 
到 2.0.0.0/8 及 3.0.0.0/8 路 由 , 但 是 R2 只 能 学 习 到 1.0.0.0/8 路 由 , 却 无 法 学 习 到 3.0.0.0/8 
路 由 ， 同 理 ，R3 也 只 能 学 习 到 1.0.0.0/8 路 由 ， 无 法 学 习 到 2.0.0.0/8 路 由 。 


1.0.0.0/8 


2.0.0.0/8 





图 2-16 在 Hub&Spoke 模型 的 帧 中 继 网 络 中 ，RIP 路 由 的 传递 问题 


大 家 都 知道 ，R2 会 将 包含 2.0.0.0/8 路 由 的 Response 报 文 从 其 Serial1/0/0 接口 发 送 
出 去 ， 而 R3 也 会 将 包含 3.0.0.0/8 路 由 的 Response 报 文 从 其 Serial1/0/0 接口 发 送出 去 ， 
最 终 R1 会 在 自己 的 Serial1/0/0 接口 上 收 到 这 些 Response 报 文 ， 并 学 习 到 2.0.0.0/8 及 
3.0.0.0/8 路 由 。 当 Rl1 的 更 新 周期 到 来 时 ， 它 也 会 发 送 Response 报 文 ， 然 而 它 从 其 
Serial1/0/0 接口 发 送 的 Response 报 文 并 不 会 携带 2.0.0.0/8 及 3.0.0.0/8 这 两 条 路 由 一 一 因 
为 这 两 条 路 由 都 是 在 该 接口 上 学 到 的 , 水 平分 割 使 然 , 所 以 最 终 R2 无 法 学 习 到 3.0.0.0/8 
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路 由 ， 而 R3 无 法 学 习 到 2.0.0.0/8 路 由 。 

在 这 种 场景 中 ， 为 了 使 网 络 中 的 路 由 器 都 能 够 学 习 到 完整 的 路 由 信息 ， 一 个 简单 的 
方法 是 在 R1 的 Seriall/0/0 接口 上 关闭 RIP 水 平分 割 ( 以 华为 AR2220 路 由 器 为 例 , 在 该 
场景 中 路 由 需 会 自动 将 这 个 接口 的 水 平分 割 关 闭 )， 当 然 , 这 么 做 可 能 会 增加 产生 路 由 环 
路 的 风险 。 另 一 个 方法 是 ， 在 R1 的 Serial1/0/0 接口 上 创建 两 个 子 接口 ， 将 连接 R2 及 
R3 的 这 两 条 PVC 分别 承 载 在 这 两 个 子 接口 上 。 


2.2.4 “毒性 逆转 


毒性 逆转 (Poison Reverse) 是 男 一 种 防止 路 由 环 路 的 有 效 机 制 ， 其 原理 是 ，RIP 从 
某 个 接口 学 到 路 由 后 ， 当 它 从 该 接口 发 送 Response 报 文 时 会 携带 这 些 路 由 , 但 是 这 些 路 
由 度量 值 被 设置 为 16 跳 (16 跳 意 味 大 该 路 由 不 可 达 )。 利 用 这 种 方式 ， 可 以 清除 对 方 路 
由 表 中 的 无 用 路 由 。 毒 性 逆转 也 可 以 防止 产生 路 由 环 路 。 

在 图 2-17 中 ，R1 及 R2 两 台 路 由 器 运行 了 RIP， 彼 此 开始 交互 RIP 路 由 。R1 将 路 
由 1.0.0.0/8 通过 RIP 通告 给 R2。 如 果 R2 激活 毒性 逆转 ， 那 么 当 它 从 GE0/0/0 接口 周期 
性 发 送 Response 报 文 时 ,， 报 文中 会 包含 从 该 接口 学 习 到 的 1.0.0.0/8 路 由 ， 但 是 路 由 的 度 
量 值 被 设置 为 16 践 。 


Response 报 文 
1.0.0.0/8 路 由 跳 数 =| 


GEO/O/0 
1.0.0.0/8 
a 


RI Response 报 文 R2 
1.0.0.0/8 路 由 跳 数 =16 


图 2-17 毒性 逆转 


由 于 R2 到 达 1.0.0.0/8 的 RIP 路 由 是 通过 RI1 获知 的 ， 这 意味 着 R1 自己 可 能 直 连 该 
网 段 ,， 或 者 通过 其 他 路 由 器 可 以 到 达 该 网 段 。 换 而 言 之 ，R1 不 会 从 R2 到 达 1.0.0.0/8， 
因为 那样 就 可 能 出 现 环 路 ， 所 以 毒性 逆转 的 思路 是 R2 认为 :“ 既 然 这 条 路 由 是 Rl1 给 我 
的 ， 那 么 R1 就 不 可 能 从 我 这 里 到 达 该 网 段 ， 所 以 我 就 告诉 R1， 这 个 网 络 从 我 这 走 是 不 
可 达 的 ” 这 条 不 可 达 路 由 可 以 彻底 杜绝 R1 从 R2 到 达 1.0.0.0/8 从 而 出 现 环 路 的 可 能 

从 上 面 的 描述 大 家 能 看 出 ， 其 实 毒性 逆转 和 水 平分 割 是 存在 矛盾 的 ， 如 果 在 R2 的 
接口 上 同时 激活 水 平分 割 和 毒性 逆转 ， 则 只 有 毒性 逆转 生效 。 综 上 ， 对 水 平分 割 通俗 的 
理解 就 是 :“ 到 达 茶 个 目的 网 段 的 路 由 既然 是 你 告诉 我 的 ， 那 么 我 就 不 应 该 再 说 回 给 你 
听 ”， 这 是 一 种 相对 消极 的 举动 。 而 毒性 逆转 则 显得 更 加 主动 和 积极 :“ 到 达 某 个 目的 网 
段 的 路 由 是 你 告诉 我 的 ， 那 么 我 通过 主动 告诉 你 这 个 网 段 从 我 这 走 不 通 来 杜绝 你 从 我 这 
走 的 可 能 ” 从 这 个 层面 上 理解 ， 似 乎 毒性 逆转 在 避免 环 路 方面 要 比 水 平分 割 更 加 靠 谱 ， 
但 是 它 依 然 存 在 明显 的 缺点 一 一 增加 了 Response 报 文 的 “体积 ”。 

如 图 2-18 所 示 ，R1 如 果 作 为 一 人 台 汇 聚 层 设备 ， 将 一 定 规模 的 路 由 信息 通过 RIP 通 
告 给 R2， 如 果 R2 激活 了 毒性 逆转 ， 那 么 它 除 了 将 路 由 表 中 的 其 他 路 由 通告 给 R1 之 外 ， 
还 会 把 自己 从 R1 接收 的 RIP 路 由 再 通告 回 给 R1 并 且 告 知 其 路 由 不 可 达 ，R2 所 发 送 的 
Response 报 文 势必 变 得 更 加 爱 肿 ， 这 显然 增加 了 和 链 路 带宽 的 损耗 及 设备 负担 。 
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路 由 2 

路 由 N 

- 人 
在 RI 僵 Tm R2 

Response 报 文 
路 由 1 不 可 达 
路 由 2 不 可 达 
路 由 不 可 达 


图 2-18 ”毒性 逆转 可 能 增加 路 由 更 新 的 负担 


2.2.5 触发 更 新 


大 家 已 经 知道 , 路 由 器 会 在 激活 了 RIP 的 接口 上 周期 性 地 发 送 Response 报 文 ， 在 缺 
省 情况 下 ，RIP 会 以 30s 为 周期 进行 报 文 改 送 ， 这 在 网 络 稳定 的 情况 下 是 没有 问题 的 ， 
但 是 一 旦 拓扑 出 现 变更 ， 如 果 依 然 要 等 符 下 一 个 更 新 周期 到 来 才 发 送 路 由 更 新 ， 这 显然 
是 不 合理 的 ， 而 且 也 非 间 容易 引发 路 由 环 路 。 

触发 更 新 机 制 指 的 是 ， 当 路 由 器 感知 到 拓扑 发 生变 更 或 RIP 路 由 度量 值 变 更 时 ， 它 
无 需 等 竺 下 一 个 更 新 周期 到 来 即 可 立即 发 送 Response 报 文 。 例 如 图 2-19 描述 的 场景 ， 
R1、R2 及 R3 三 台 路 由 器 运行 了 RIP，R1 在 RIP 中 发 布 1.0.0.0/8 路 由 ， 它 立即 癌 R2 发 
送 一 个 Response 报 文 ， 在 该 报 文中 包含 这 条 路 由 以 及 路 由 的 度量 值 。R2 收 到 这 条 路 由 
更 新 后 ， 将 路 由 加 载 到 目 己 的 路 由 表 ， 然 后 〈 无 需 等 竺 下 一 个 更 新 周期 到 来 ) 立即 同 R3 
发 送 Response 报 文 ， 将 1.0.0.0/8 路 由 通告 给 它 


Response 报 文 Response 报 文 
1.0.0.0/8 路 由 跳 数 =] 1.0.0.0/8 路 由 跳 数 =2 
人 一 全 


RI R2 R3 
图 2-19 1.0.0.0/8 路 由 通过 RIP 进行 泛 洪 


现在 由 于 某 种 原因 , RI1 通告 的 1.0.0.0/8 路 由 的 度量 值 发 生 了 变化 ,由 原来 的 1 跳 变 
为 2 跳 ，R1 加 R2 发 送 一 个 Response 报 文 以 便 将 这 个 变化 通知 给 对 方 。 由 于 R2 是 从 该 
条 路 由 的 下 一 跳 收 到 的 Response 报 文 ， 因 此 即使 新 的 度量 值 要 劣 于 R2 路 由 表 中 已 经 存 
在 的 1.0.0.0/8 路 由 的 度量 值 , R2 也 会 立即 刷新 目 己 的 路 由 表 , 并 且 无 需 等 竺 下 一 个 更 新 
周期 的 到 来 ， 立 即 触发 一 个 Response 报 文 给 R3， 如 图 2-20 所 示 。R3 在 收 到 该 报 文 后 ， 
立即 刷新 目 己 的 路 由 表 。 





Response 报 文 Response 报 文 
1.0.0.0/8 路 由 跳 数 =2 1.0.0.0/8 路 由 跳 数 =3 
= a 


RI R2 R3 
图 2-20”R2 无 需 等 待 更 新 周期 的 到 来 ， 立 即 癌 R3 发 送 Response 报 文 
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2.2.6 ”毒性 路 由 


前 文 已 经 提 到 ，RIP 将 15 跳 视 为 最 大 的 可 用 跳 数 ， 这 驶 意味 看 上 度量 值 为 16 跳 的 路 
由 是 不 可 达 的 。 将 度量 值 为 16 跳 的 路 由 包含 在 Response 报 文 中 进行 泛 洪 ， 这 在 茶 些 场 
合 下 是 非常 有 用 的 ， 例 如 毒性 逆转 。 另 一 种 重要 的 用 途 是 ， 当 一 个 网 络 变 为 不 可 达 时 ， 
发 现 这 个 变化 的 路 由 器 立即 触发 一 个 16 跳 的 路 由 更 新 来 通知 网 络 中 的 路 由 器 一 一 目标 
网 络 已 经 不 可 达 ， 这 种 路 由 被 称 为 毒性 路 由 。 

如 图 2-21 所 示 , R1 的 直 连 网 段 1.0.0.0/8 因 故 障 变 为 不 可 达 , R1 将 立即 发 送 Response 
报 文 (触发 更 新 机 制 使 然 ) 用 于 通告 这 个 更 新 , 在 其 发 送 给 R2 的 这 个 Response 报 文中 ， 
包含 看 1.0.0.0/8 路 由 , 最 重要 的 是 这 条 路 由 的 度量 值 被 设置 为 16。R2 收 到 这 个 Response 
报 文 后 ， 就 立即 意识 到 该 网 段 已 经 不 可 达 了 ， 于 是 将 该 路 由 从 路 由 表 中 移 除 。 值 得 注意 
的 是 ，R2 虽然 将 该 路 由 从 路 由 表 中 删除 ， 但 是 依然 将 其 保存 在 RIP 数据 库 中 ， 同 时 为 其 
局 动 垃圾 回收 计时 器 。 


Response 报 文 
1.0.0.0/8 路 由 跳 数 =16 


a 
RI1 R2 
图 2-21 毒性 路 由 


2.3 RIPv2 


2.3.1 RIPv1 及 RIPv2 


RFC1058 (Routing Information Protocol) 描述 了 RIPv1，RIPVv1 是 一 个 典型 的 有 类 路 
由 协议 〈Classful Routing Protocol)。RIPv1 不 文 持 VLSM， 这 使 得 它 只 能 够 在 特定 的 网 
” 络 环境 中 提供 路 由 信息 服务 ， 与 之 相关 的 一 个 非常 重要 的 因素 是 ，RIPv1 的 Response 报 
文中 所 携带 的 路 由 信息 只 有 IP 地 址 〈 目 的 网 络 地 址 ) 而 没有 目的 网 络 掩 码 ， 这 就 使 得 
RIPv1 在 部 署 了 VLSM 的 网 络 中 工作 时 会 出 现 问题 。 

图 2-22 展示 了 一 个 部 署 了 VLSM 的 网 络 ，R1 连接 着 主 类 网 络 172.16.0.0/16 的 一 个 
子 网 172.16.1.0/24，R3 连接 大 该 主 类 网 络 的 男 一 个 子 网 一 一 172.16.3.0/24。 如 此 一 来 ， 
172.16.0.0/16 这 个 B 类 地 址 的 两 个 子 网 被 192.168.12.0/24 及 192.168.23.0/24 这 两 个 C 类 
网 络 地址 段 “ 隔 开 ” 了 ， 这 种 网 络 又 被 称 为 “不 连续 的 主 类 网 络 ”。 现 在 网 络 管理 员 将 在 
R1、R2 及 R3 上 部 署 RIPv1。 

RIPv1 是 有 类 路 由 协议 ， 运行 RIPvl 的 路 由 器 所 泛 洪 的 Response 报 文 中 ， 路 由 信息 
是 不 携带 目的 网 络 掩 公 的 ， 这 就 存在 一 个 问题 ， 如 果 R1 要 回 外 通告 172.16.1.0/24 这 个 
子 网 ， 路 由 的 目的 网 络 地 址 是 多 少 ?” 对方 收 到 这 个 路 由 而 又 缺少 网 络 掩 码 信息 ， 它 该 如 
何 判断 目标 网 络 的 掩 码 ? RIPvl 定义 了 一 套路 由 发 送 及 更 新 规则 ， 关 于 这 些 规则 的 描述 
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超出 了 本 书 的 范围 。 如 果 RIPv1 路 由 器 处 于 主 类 网 络 边界 ， 当 它 将 一 个 主 类 网 络 的 子 网 
路 由 通告 到 另 一 个 主 类 网 络 时 ， 会 将 前 者 目 动 汇 总 成 主 类 路 由 进行 通告 。 
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主 类 网 络 
172 16.0.0/16 
图 2-22 RIPv1 不 支持 VLSM 


在 本 例 中 ，R1 处 于 主 类 网 络 172.16.0.0/16 及 192.168.12.0/24 的 边界 ， 因 此 当 它 向 
192.168.12.0/24 网 络 通告 172.16.1.0/24 这 个 子 网 路 由 时 ， 会 将 该 子 网 路 由 汇总 成 主 类 路 
由 : 172.16.0.0 (注意 R1 将 该 路 由 通过 Response 报 文通 告 给 R2 时 是 不 携带 目的 网 络 掩 
码 的 )。R2 收 到 这 条 路 由 更 新 后 ， 为 172.16.0.0 附 上 该 地 址 的 缺 省 掩 码 ， 也 就 是 
255.255.0.0， 因 此 最 终 R2 将 172.16.0.0/16 路 由 加 载 到 路 由 表 中 ,该 路 由 的 下 一 跳 为 R1。 

值得 注意 的 是 ，R1 及 R3 都 处 于 主 类 网 络 边 界 ， 因 此 它们 问 R2 发 送 的 Response 报 
文 都 将 包含 172.16.0.0 路 由 (而 且 没 有 目的 网 络 掩 码 信 息 )， 这 将 使 得 R2 收 到 这 两 份 
Response 报 文 后 ， 将 两 条 路 由 都 加 载 到 路 由 表 中 ， 如 此 一 来 ，R2 的 路 由 表 中 的 
172.16.0.0/16 路 由 将 在 R1 及 R3 这 两 个 下 一 跳 执 行 等 价 负载 分 担 。 这 造成 的 一 个 直接 结 
果 是 R2 转发 到 达 172.16.3.0/24 的 数据 包 时 ， 有 可 能 会 将 其 送 往 R1 从 而 导致 通信 故障 。 
这 就 是 RIPvl 面 对 不 连续 的 主 类 网 络 时 存在 的 问题 。 解 决 这 个 问题 的 方法 有 几 个 ， 最 为 
推荐 的 方法 是 使 用 RIPv2 而 不 是 RIPv1。 

RFC2453 (RIP Version 2) 描述 了 RIPv2， 其 改进 点 包括 使 用 组 播 的 方式 发 送 RIP 报 
文 ; 文 持 无 类 路 由 选择 ; 在 Response 报 文 携 带 的 路 由 信息 中 增加 目的 网 络 掩 码 ; 支持 报 
文 认 证 ; 增加 下 一 跳 特 性 ;增加 路 由 标记 功能 ; 支持 手工 路 由 汇总 等 。 

相 较 于 RIPv1，RIPv2 最 显而易见 的 改进 点 之 一 是 该 协议 为 无 类 路 由 选择 协议 ， 文 
持 VLSM。 


2.3.2 ” 报 文 发 送 方式 
RIPv1 使 用 广播 的 方式 发 送 协议 报 文 ， 这 些 报 文 的 目的 耳 地 址 为 255.255.255.255， 
这 是 一 个 广播 下 地 址 , 一 个 设备 发 送 的 广播 报 文 将 在 设备 所 处 的 广播 域 中 泛 洪 , 这 使 得 


与 其 同 处 一 个 广播 域 的 其 他 设备 都 将 收 到 这 个 报 文 ， 并 且 耗 费 资 源 去 处 理 这 些 报 文 一 一 
即使 有 些 设备 并 不 需要 这 些 报 文 ， 例 如 广播 域 中 的 主机 、 服 务 器 以 及 其 他 并 未 运行 RIP 
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的 设备 等 ， 这 些 设备 收 到 一 个 RIPvl 报 文 后 ， 需 要 将 其 进行 层 层 解 封装 ， 直 至 看 到 报 文 
的 目的 UDP 端口 号 ， 然 后 发 现 本 地 并 未 侦 听 UDP520 端口 才 会 将 该 报 文 丢 弃 。 

RIPv2 则 采用 组 播 地址 224.0.0.9 作为 协议 报 文 的 目的 IP 地 址 ， 所 有 的 RIPv2 设备 
部会 侦 听 该 组 播 地 址 。 采 用 这 种 方式 发 送 协议 报 文 ， 可 以 减少 对 广播 域 中 其 他 设备 的 
影响 。 \ 


2.3.3 ” 报 文 认证 


RIPv2 支持 报 文 认证 功能 ， 这 使 得 RIP 路 由 信息 的 交互 更 加 安全 。 缺 省 时 ，RIP 
路 由 信息 的 交互 是 缺乏 安全 性 的 ， 一 旦 设备 的 某 个 接口 激活 了 RIP， 该 接口 即 开 始 周 
期 性 地 发 送 Response 报 文 及 侦 听 RIP 报 文 ， 如 果 接 口上 收 到 Response 报 文 ，RIP 只 
进行 简单 的 校 验 , 例如 检查 报 文 的 源 卫 地 址 与 自己 的 接口 IP 地 址 是 否 在 相同 网 段 等 ， 
随后 就 将 所 收 到 的 Response 报 文中 的 路 由 信息 学 习 过 来 , 这 显然 是 存在 一 定 的 安全 隐 
患 的 。 

在 图 2-23 所 示 的 网 络 中 ，R1 及 R2 之 间 交 互 厦 RIP 路 由 ,现在 R3 连接 到 了 交换 机 
上 ， 并 且 开 始 在 广播 域 中 泛 洪 Response 报 文 ， 这 些 伪造 的 Response 报 文中 携 币 看 大 量 
垃圾 路 由 ， 这 将 造成 了 1 及 R2 的 路 由 出 现 亲 乱 ， 或 者 路 由 表 被 大 量 垃圾 路 由 填充 ， 设备 
资源 也 将 被 大 量 消耗 。 


R1 R2 






开启 RIP 报 文 认 证 开启 RIP 报 文 认证 


aaan RIP 路 由 


R3 (攻击 者 ) 
图 2-23 攻击 者 R3 站 网 络 中 泛 洪 大 量 伪造 的 RIP 路 由 


RIPv2 给 出 了 解决 方案 : RIP 报 文 认证 。 通 过 在 R1 及 R2 的 接口 上 激活 RIP 认证 并 
在 两 端 配 置 相同 的 认证 口令 ， 可 使 RIP 报 文 的 交互 更 为 安全 ， 只 有 当 接 口上 收 到 的 RIP 
报 文 中 相关 认证 字段 匹配 本 地 配置 的 认证 口令 ， 该 报 文 才 被 认为 是 有 效 的 ， 否 则 被 认为 
是 非法 报 文 并 被 丢弃 。 

RIP 认证 是 基于 报 文 的 ， 以 简单 〈Simple) 认证 方式 为 例 ， 路 由 器 接口 上 配置 RIP 
报 文 认 证 后 ， 该 接口 发 送 的 RIP 报 文 将 会 携带 认证 信息 ， 如 图 2-24 所 示 。 认 证 信息 会 占 
用 报 文 的 第 一 个 路 由 项 (该 路 由 项 的 地 址 族 标 识 符 为 0xFFFF)， 此 时 一 个 Response 报 文 
可 携带 的 最 大 路 由 条 目 数量 从 25 条 变 成 24 条 。 

以 华为 AR2200 路 由 器 为 例 ， 支 持 以 下 儿 种 RIP 认证 方式 : 

® 简单 认证 ; 

e。 MD5 认证 CIETF 标准 ); 

e。 MD5 认证 (私有 标准 )。 
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地 址 族 标 识 符 《0xFFFF) 













he re 


图 2-24 ”携带 认证 数据 的 RIP 报 文 





2.3.4 下 一 跳 字 上 段 


RIPv2 定义 了 “下 一 跳 ” 字 7 段 ， 使 得 路 由 磁 在 多 路 访问 网 络 上 可 以 避免 次 优 路 径 现 
象 。 在 图 2-25 所 示 的 网 络 中 ，R1、R2 及 R3 连接 在 同一 台 以 太 网 交换 机 上 ，R1 及 R3 
运行 RIPv2， 但 R2 并 不 支持 RIP。R2 直 连 着 2.0.0.0/8， 为 了 让 RI1 能 够 访问 这 个 网 段 ， 
我 们 在 R1 上 部 署 了 静态 路 由 : ip route-static 2.0.0.0 8 192.168.123.2。 现 在 为 了 让 R3 也 
能 够 访问 2.0.0.0/8， 而 且 能 够 通过 RIP 学 习 到 去 往 该 网 段 的 路 由 ，R1 将 静态 路 由 引入 
RIP。 如 此 一 来 ，R3 就 能 够 通过 RIP 学 习 到 2.0.0.0/8 路 由 ， 然 而 由 于 该 条 路 由 是 学 习 
R1 的 ， 因 此 R3 将 这 条 路 由 加 载 进 路 由 表 时 ， 认 为 R1 是 其 到 达 该 网 段 的 下 一 跳 。 这 显 
然 并 非 是 最 优 的 方案 ， 因 为 从 R3 到 达 2.0.0.0/8 的 数据 包 将 首先 被 转发 给 R1， 再 由 R1 
转发 到 R2， 这 实际 上 是 存在 次 优 路 人 径 的 。 为 什么 R3 不 直接 将 数据 发 往 R2 呢 ? 这 是 因 
为 对 于 距离 矢量 路 由 协议 而 言 ， 路 由 的 通告 者 就 被 视 为 该 路 由 的 下 一 跳 。 


2.0.0.0/8 







R1 (RIP 路 由 器 ) 
R2( 不 运行 RIP) 


GEO/0/0 
192.168.123.1 


GEO/0/0 
192.168.123.2 





GEO/0/0 
192.168.123.3 


R3 (RIP 路 由 器 ) 
图 2-25 ”下 一 跳 宇 段 的 应 用 






人 在 同一 个 网 络 拓扑 结构 中 ,如 果 存 在 两 种 不 同 的 路 由 协议 ， 由 于 不 同 路 由 协议 的 
机 理 各 有 不 同 ， 对 路 由 的 理解 也 不 相同 ， 这 就 在 网 络 中 造成 了 路 由 信息 的 隔离 。 在 路 由 
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协议 的 边界 设备 上 ， 将 某 种 路 由 协议 的 路 由 信息 引入 另 一 种 路 由 协议 中 ， 这 个 操作 被 称 
为 路 由 引入 (Route Importation) 或 者 路 由 重 分 发 (Route Redistribution) 。 例 如 一 台 政 由 
器 如 果 既 配置 了 静态 路 由 ， 又 运行 了 RIP， 那 么 其 路 由 表 中 的 静态 路 由 对 于 RIP 而 言 是 
外 部 路 由 ， 缺 省 时 RIP 域内 的 设备 对 于 这 些 静 态 路 由 是 无 感知 的 ， 如 果 在 该 路 由 器 上 将 
静态 路 由 引入 RIP， 那 么 RIP 域内 的 其 他 设备 便 能 通过 RIP 学 习 到 这 些 外 部 路 由 ， 这 个 
操作 就 是 路 由 引入 。 


RIPv2 增加 了 “下 一 跳 ” 笃 段 来 解决 这 个 问题 ， 当 R1 将 2.0.0.0/8 路 由 通过 RIP 通 
告 给 R3 时 ，Response 报 文 除 了 携 市 该 路 由 的 目的 网 络 地 址 、 目 的 网 络 掩 码 、 上 度量 值 ， 
还 会 设置 “下 一 跳 ” 字 段 ， 该 字段 的 值 为 R1 自己 到 达 目 标 网 段 2.0.0.0/8 的 直 连 下 一 跳 
地 址 ， 也 就 是 直 连 网 段 中 的 192.168.123.2(R2 的 接口 地 址 )。 

在 大 多 数 情况 下 ， 当 RIP 路 由 器 发 送 路 由 更 新 时 ， 路 由 的 “下 一 跳 ” 字段 为 0.0.0.0， 
其 他 RIP 路 由 器 接收 该 路 由 更 新 后 ， 将 路 由 的 通告 者 视 为 到 达 目 的 网 段 的 下 一 跳 。 而 在 
本 场景 中 , RI1 通过 设置 这 个 字段 来 告知 路 由 接收 者 到 达 目 的 网 段 的 具体 下 一 跳 地 址 ， 从 
而 规避 次 优 路 径 问 题 。 如 此 一 来 ，R3 收 到 这 个 Response 报 文 后 ， 将 路 由 2.0.0.0/8 加 载 
进 路 由 表 ， 而 路 由 的 下 一 跳 便 设置 为 192.168.123.2 (该 地 址 直 连 可 达 )。 当 R3 收 到 去 往 
该 网 段 的 数据 包 时 ， 便 会 将 其 直接 转发 给 R2， 而 不 会 经 由 RI1 去 转发 。 


2.3.5 ”路 由 标记 


RIPv2 增加 了 “路 由 标记 (Route Tag)” 了 字段 ,使 得 从 外 部 被 引入 RIP 的 路 由 能 够 携 
带 特定 的 标记 信息 。 我 们 将 一 系列 连续 的 RIP 路 由 器 构成 的 网 络 称 为 RIP 域 ，RIP 域内 
的 路 由 器 通过 network 命令 加 RIP 发 布 的 路 由 将 会 被 整个 域内 的 RIP 路 由 器 学 习 到 ， 这 
些 路 由 的 “路 由 标记 ”字段 值 将 被 设置 为 0。 当 一 条 外 部 路 由 ， 例 如 静态 路 由 、OSPF 或 
BGP 路 由 等 ， 被 重 分 发 到 RIP 时 ，RIP 可 以 为 该 路 由 设置 路 由 标记 ， 此 时 执行 重 分 发 操 
作 的 路 由 器 将 问 RIP 域 中 泛 洪 用 于 搞 述 该 外 部 路 由 的 Response 报 文 ， 而 在 该 Response 
报 文 中 , 被 引入 的 外 部 路 由 会 携带 由 网 络 管理 员 设 置 〈 或 者 协议 目 动 设置 ) 的 路 由 标记 ， 
域内 的 RIP 路 由 器 学 习 到 该 路 由 后 都 能 看 到 该 标记 ， 并 且 可 以 基于 该 标记 执行 路 由 策略 
等 操作 。 


Po 






本 书 将 分 别 在 “路 由 重 分 发 ”及 “路 由 策略 与 PBR” 两 章 中 分 别 介绍 路 由 重 分 发 
以 及 路 由 策略 的 概念 。 


2.3.6 ”路 由 汇总 


路 由 汇总 是 非常 重要 的 一 种 思想 ， 对 网 络 优化 的 页 献 是 巨大 的 。 一 个 大 规模 的 网 络 
中 , 路 由 器 为 了 维护 大 量 的 路 由 信息 不 得 不 耗费 过 多 的 设备 资源 , 为 了 减 小 设备 的 负担 ， 
同时 保证 网 络 中 路 由 的 可 达 性 ， 部 署 路 由 汇总 是 非常 推荐 的 解决 办 法 。 路 由 汇总 指 的 是 
同一 个 网 段 内 的 不 同 子 网 路 由 在 向 外 通告 时 汇总 成 一 条 路 由 的 行为 。 路 由 汇总 主要 用 于 
减 小 网 络 设备 的 路 由 表 规 模 ， 进 而 减 小 网 络 中 的 路 由 更 新 的 流量 及 设备 资源 消耗 。 在 一 
个 大 型 的 网 络 中 路 由 汇总 几乎 是 必须 考虑 的 一 种 网 络 优化 手段 。 
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以 图 2-26 所 示 的 网 络 为 例 ，R1 连接 着 172.16.1.0/24、172.16.2.0/24 及 172.16.3.0/24 
等 大 量 网 段 ， 如 果 R1 将 这 些 网 段 的 路 由 信息 通过 RIP 统统 通告 给 R2， 那 么 R2 的 路 由 
表 将 立即 变 得 “ 腔 肿 ”而且 为 了 更 新 这 些 路 由 又 得 占用 挥 不 少 链 路 市 党 。 仔细 一 看 不 难 
发 现 该 网 络 是 可 以 通过 部 署 路 由 汇总 来 进行 优化 的 。 

Response 报 文 
172.16.1.0/24 路 由 


172.16.2.0/24 路 由 
172.16.3.0/24 路 由 










172.16.1.0/24 
172.16.2.0/24 
172.16.3.0/24 








GE0/0/0 
RI 101.12.1/24 





mes won 


172.16.255.0/24 
图 2-26 RI1 将 路 由 明细 通告 给 R2，R2 的 路 由 表 立 即 变 得 腑 肿 


如 果 我 们 在 R1 上 部 署 路 由 汇总 ， 如 图 2-27 所 示 ， 使 R1 不 再 通告 172.16.0.0/16 的 
子 网 路 由 给 R2， 而 是 通告 汇总 路 由 172.16.0.0/116， 那 么 R2 的 路 由 表 将 极 大 程度 地 被 精 
简 ， 当 R2 转发 到 达 这 些 子 网 的 报 文 时 ， 可 以 使 用 这 条 汇总 路 由 来 指导 转发 。 当 然 ， 需 
要 说 记 的 是 ， 部 署 路 由 汇总 的 前 提 是 IP 地 址 规划 具备 一 定 的 合理 性 ， 如 果 网 络 中 的 PP 
地 址 规划 非常 紊乱 且 没 有 规律 ， 那 么 路 由 汇总 的 部 署 势 必 存 在 极 大 的 障碍 。 


Response 报 文 
172.16.0.0/16 路 由 












172.16.1.0/24 
172.16.2.0/24 
172.16.3.0/24 








ee ot GE0/0/0 
172.16.255.0/24 RI1 10112.1/24 






图 2-27 在 Rl1 上 部 团 RIP 路 由 汇总 ， 使 得 它 只 和 癌 R2 通告 汇总 路 由 


RIP 支持 路 由 自动 汇总 ， 所 谓 路 由 自动 汇总 指 的 是 如 果 RIP 路 由 器 处 于 主 类 网 络 边 
界 ， 当 它 将 一 个 主 类 网 络 的 子 网 路 由 通告 到 男 一 个 主 类 网 络 时 ， 自 动 将 该 子 网 路 由 汇总 
成 主 类 网 络 路 由 ， 只 将 主 类 网 络 路 由 通告 给 直 连 RIP 路 由 器 的 行为 。 值得 注意 的 是 , RIP 
路 由 自动 汇总 只 能 将 明细 路 由 汇总 成 主 类 网 络 路 由 ， 这 在 某 些 场景 下 会 存在 “颗粒 度 过 
大 ”的 问题 。 

RIPv1 及 RIPv2 对 于 路 由 目 动 汇总 的 文 持 情况 有 所 不 同 : 

。 在 RIPvl 中 ， 路 由 目 动 汇总 功能 缺 省 已 被 激活 ， 而 且 不 能 被 关闭 ; 

e 在 RIPv2 中 ， 路 由 目 动 汇总 功能 缺 省 已 被 激活 ， 但 是 可 以 通过 命令 关闭 。 

以 RIPv2 为 例 , 我 们 看 看 路 由 目 动 汇总 的 执行 过 程 。 在 图 2-27 中 ，R1 及 R2 运行 了 
RIPV2，R1 激活 了 RIP 路 由 自动 汇总 功能 ，172.16.1.0/24、172.16.2.0/24 等 子 网 的 主 类 网 
络 地 址 及 掩 码 长 度 是 172.16.0.0/16, 而 R1 的 GE0/0/0 接口 的 主 类 网 络 地 址 及 掩 码 长 度 是 
10.0.0.0/8， 显 然 R1 处 于 两 个 主 类 网 络 的 边界 ， 因 此 当 其 向 R2 通告 172.16.0.0/16 的 子 网 
路 由 时 ，R1 将 会 执行 路 由 自动 汇总 ， 将 这 些 明细 路 由 汇总 成 主 类 网 络 路 由 172.16.0.0/16 
通告 给 R2。 在 路 由 汇总 的 执行 过 程 中 ， 只 要 存在 一 条 明细 路 由 ， 则 该 明细 路 由 对 应 的 主 
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类 网 络 汇 总 路 由 便 会 被 通告 ， 而 如 果 所 有 的 明细 路 由 都 失效 ， 则 RIP 不 再 通告 对 应 的 汇 
总 路 由 。 
RIP 路 由 目 动 汇总 对 本 地 始 发 的 RIP 路 由 生效 ， 也 对 其 他 路 由 器 通告 的 RIP 路 由 生 

效 。 如 图 2-28 所 示 ， 如 果 在 R1 上 关闭 自动 汇总 功能 ， 而 R2 激活 该 功能 ， 则 RI1 将 问 
R2 通告 所 有 明细 路 由 ，R2 收 到 这 些 路 由 后 ， 将 它们 加 载 到 目 忆 的 路 由 表 ， 当 其 问 R3 
通告 这 些 路 由 时 ， 由 于 激活 了 路 由 自动 汇总 功能 ， 因 此 它 仅 同 R3 通告 汇总 路 由 172.16. 
0.0/16。 

Response 报 文 

172.16.1.0/24 路 由 


172.16.2.0/24 路 由 
172.16.3.0/24 路 由 


ee Response 报 文 
172.16.255.0/24 路 由 172.16.0.0/16 路 由 
a—_.—p ee 









172.16.1.0/24 
172.16.2/0/24 
172.16.3.0/24 


4 mie p RI 10.1.12.1/24 R2 10.1.23.2/24 R3 
激活 路 由 自动 汇总 
图 2-28 RIP 路 由 自动 汇总 功能 对 本 地 始 发 的 RIP 路 由 及 其 他 路 由 器 通告 的 路 由 均 有 效 


路 由 自动 汇总 功能 使 用 起 来 的 确 峰 为 方便 ， 然 而 正如 此 前 所 讲 ， 该 功能 在 某 些 场景 
中 应 用 时 可 能 存在 问题 。 如 图 2-29 所 示 ，R1、R2 及 R3 三 台 路 由 器 均 运 行 RIPvV2， 其 中 
Rl1 及 R3 均 处 于 主 类 网 络 边 界 。R1 左 侧 连接 看 172.16.1.0/24、172.16.2.0/24……172.16. 
31.0/24 这 一 系列 子 网 ， 当 它 从 GE0/0/0 接口 发 送 关 于 这 些 子 网 的 RIP 路 由 更 新 时 ， 会 闪 
这 些 子 网 路 由 汇总 成 主 类 路 由 172.16.0.0/16 再 进行 通告 ， 遗 憾 的 是 R3 同样 会 执行 这 个 
动作 ， 它 也 会 癌 R2 通告 172.16.0.0/16 汇总 路 由 ， 如 此 一 来 ，R2 将 分 别 从 R1 及 R3 收 到 
172.16.0.0/16 路 由 的 RIP 更 新 。 由 于 这 两 条 汇总 路 由 均 从 RIP 获取 ， 因 此 R2 会 根据 度 
量 值 进行 路 由 优选 ， 如 果 它 们 的 度量 值 相等 ， 则 R2 会 执行 路 由 等 价 负 和 载 分 担 ， 也 就 是 
把 这 两 条 路 由 都 加 载 到 路 由 表 中 ， 这 就 会 发 生 问 题 ， 因 为 到 达 172.16.32:0/24 等 子 网 的 
流量 很 有 可 能 会 被 转发 给 R1 从 而 造成 流量 丢失 。 


Response 报 文 Response 报 文 
172.16.0.0/16 172.16.0.0/16 
















172.16.1.0/24 
172.16.2.0/24 


GOEU/O/0 


172.16.32.0/24 
172.16.33.0/24 


CEOIONO I OO 
172.16.63.0/24 










10.1.1.0/24 





10.2.2.0/24 





激活 路 由 自动 汇总 激活 路 由 自动 汇总 
图 2-29 RI1 及 R3 激活 RIP 路 由 上 自动 汇总 功能 


造成 这 个 问题 的 原因 是 路 由 目 动 汇 总 所 产生 的 汇总 路 由 的 “ 壬 粒度 太 大 ”， 换 句 话 
说 是 汇总 路 由 的 掩 码 不 够 精确 。 而 如 果 在 R1 及 R3 上 关闭 自动 汇总 ， 所 有 的 明细 路 由 又 
都 会 被 全 部 通告 给 R2，R2 的 路 由 表 将 立即 变 得 用 肿 ， 这 当然 也 不 是 我 们 希望 看 到 的 。 
那么 如 果 硕 望 减 小 设备 路 由 表 规 横 的 同时 ， 解 决 上 面 提 到 的 颗粒 度 问 题 ， 该 如 何 操作 ? 
答案 是 使 用 RIP 手工 路 由 汇总 , 也 就 是 在 R1 及 R3 上 首先 关闭 路 由 自动 汇总 ， 然 后 使 用 
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手工 汇总 来 指定 RIP 通告 的 精确 汇总 路 由 。 手 工 汇 总 的 方式 可 以 自 定义 汇总 路 由 的 目的 
网 络 地址 及 网 络 掩 码 ， 而 不 受 地 址 类 别 的 限制 ， 如 图 2-30 所 示 。R1 关闭 RIP 路 由 目 动 
汇总 后 部 署 RIP 路 由 手工 汇总 , 使 得 它 向 R2 通告 汇总 路 由 172.16.0.0/19 (与 此 同时 明细 
路 由 将 被 抑制 ); 而 R3 也 关闭 RIP 路 由 自动 汇总 并 向 R2 通告 另 一 条 汇总 路 由 : 
172.16.32.0/19。 这 两 条 汇总 路 由 都 精确 地 “ 奢 括 ”了 相应 的 明细 路 由 ， 并 且 不 会 在 R2 
上 形成 冲突 ， 完 美 地 解决 了 此 前 过 到 的 问题 。 


Response 报 文 Response 报 文 
172.16.0.0/19 172.16.32.0/19 
= 











172.16.1.0/24 172.16.32.0/24 
172.16.2.0/24 172.16.33.0/24 


172.16.63.0/24 





图 2-30 ”Rl 及 R3 关闭 RIP 路 由 自动 汇总 ， 而 使 用 手工 汇总 


2.4 ”RIPv2 的 配置 及 实现 


2.4.1 案例 1: RIPv2 基础 配置 
在 图 2-31 所 示 的 网 络 中 ， 我 们 将 在 每 台 路 由 器 上 部 署 RIPv2， 使 得 网 络 中 各 个 网 段 
之 间 能 够 实现 相互 通信 。 


R2 
GE0/0/2 


192.168.1.3/30 


GEO/0/] 
192.168.1.2/30 











GEO/0/1 
192.168.1.1/30 


GEO/0/1 
192.168.1.6/30 


RI 


GE0/0/2 
172.16.1.254/24 


GE0O/0/2 
172.16.31.234/24 


172.16.1.0/24 172.16.31.0/24 
图 2-31 RIPv2 基础 配置 


R1 的 配置 如 下 : 

[Rllrip 1 \ 
[R1-rip-l]version 2 

[Rl-rip-l jnetwork 192.168.1.0 
[Rl-rip-l lnetwork 172.16.0.0 


在 上 述 配 置 中 ，rip 命令 用 于 创建 一 个 RIP 路 由 进程 ， 而 该 命令 后 的 数字 1 则 为 该 
RIP 进程 的 进程 ID (Process-ID )，Process-ID 如 果 不 手 工 指定 ， 则 系统 会 目 动 为 该 进程 
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分 配 一 个 。Process-ID 用 于 在 设备 上 标识 RIP 进程 ， 如 果 一 台 设 备 同 时 运行 多 个 RIP 进 
程 , 则 每 个 进程 需 使 用 本 地 唯一 的 Process-ID 以 便 区 分 。 同 一 台 设 备 上 所 运行 的 不 同 RIP 
进程 相互 独立 ,设备 在 一 个 RIP 进程 内 学 习 到 的 路 由 缺 省 不 会 自动 注入 另 一 个 RIP 进程 。 

在 RIP 配置 视图 下 执行 的 version 2 命令 用 于 指定 该 进程 所 运行 的 RIP 版 本 为 RIPv2。 
Network 命令 用 于 在 指定 网 段 的 接口 上 激活 RIP。 值 得 注意 的 是 ，network 命令 所 指定 
的 必须 是 主 类 网 络 地 址 ， 而 不 能 是 子 网 地 址 。 例 如 network 192.168.1.0 这 条 命令 ， 将 使 
得 R1 在 GE0/0/1 接口 上 激活 RIPV2， 而 network 172.16.0.0 命令 则 使 得 R1 在 GE0/0/2 
接口 上 激活 RIPv2。 当 然 ， 如 果 您 使 用 network 172.16.1.0 命令 试图 在 R1 的 GE0/0/2 口 
上 激活 RIPv2， 那 么 系统 将 会 报错 ， 因 为 172.16.1.0 是 一 个 子 网 地 址 ， 而 不 是 主 类 网 络 
地 址 。 

R2 的 配置 如 下 : 

[R2jrip 1 

-{R2-rip-1]version 2 

[R2-rip-l network 192.168.1.0 

在 R2 的 配置 中 , network 192.168.1.0 命令 将 在 其 GE0/0/1 及 GE0/0/2 接口 上 都 激活 
RIPv2 。 


R3 的 配置 如 下 : 


[R3]rip 1 

[R3-rip-l lversion 2 

[R3-rip-l Inetwork 192.168.1.0 
[R3-rip-l jnetwork 172.16.0.0 


完成 上 述 配 置 后 ，R1、R2 及 R3 便 会 开始 在 相关 接口 上 发 送 Request 及 Response 报 
文 ， re 
使 用 display rip 1 interface 命令 ， 可 以 查看 本 设备 有 哪些 接口 激活 了 RIP， 以 R1 为 例 : 


<R1>display rip 1 interface 


Interface IP Address State Protocol MTU 
GE0/0/2 172.16.1.254 UP RIPv2 Multicast $500 
GE0/0/1 192.168.1.1 UP RJIPv2 Multicast 500 


从 以 上 输出 可 以 看 出 ，R1 的 GE0/0/1 及 GE0/0/2 接口 都 在 RIP 进程 1 中 被 激活 了 。 
路 由 器 将 通过 RIP 发 现 的 路 由 都 存储 在 RIP 数据 库 中 ， 使 用 display rip 1 database 
命令 可 以 查看 RIP 进程 1 的 数据 库 ， 以 R1 为 例 : 
<R1>display rip 1 database 
Advertisement State ; [A] - Advertised 
[I] - Not Advertised/Withdraw 
172.16.0.0/16, cost 0, ClassfulSumm 
172.16.1.0/24, cost 0, [A], Rip-interface 
172.16.31.0/24, cost 2, [Al], nexthop 192.168.1.2 
192.168.1.0/24, cost 0, ClassfulSumm 
192.168.1.0/30, cost 0, [A], Rip-interface 
192.168.1.4/30, cost 1, [Al, nexthop 192.168.1.2 


从 上 述 输 出 可 以 看 出 ，RI1 发 现 了 直 连 网 段 172.16.1.0/24 及 192.168.1.0/30， 由 于 这 
两 个 网 段 是 本 地 接口 直 连 ， 因 此 它们 的 度量 值 都 为 0。 男 外 ，R1 还 通过 RIP 学 习 到 路 由 
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172.16.31.0/24 及 192.168.1.4/30， 这 两 条 路 由 的 度量 值 分 别 是 2 跳 及 1 中 。 
现在 , 三 台 路 由 器 都 已 经 知晓 了 到 达 网 络 中 各 个 网 段 的 路 由 ，R1 学 习 到 的 RIP 路 由 
如 下 : 


<R1>display ip routing-table protocol rip 
Route Flags: R - relay.D - download to fib 


Public routing table : RIP 
Destinations : 2 Routes : 2 


RIP routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
172.16.31.0/24 RIP 100 2 D 192.168.1.2 GigabitEthernet0/0/1 
192.168.1.4/30 ”RIP 100 1 D 192.168.1.2 GigabitEthernet0/0/1 
RIP routing table status : <Inactive> 
Destinations : 0 Routes :0 
R2 学 习 到 的 RIP 路 由 如 下 : 
<R2>display ip routing-table protocol rip 
Route Flags: R - relay, D - download to fib 
Public routing table : RIP 
Destinations : 2 Routes : 2 
RIP routing table status : <Active> 
Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags “NextHop Interface 
172.16.1.0/24 RIP 100 1 D 192.168.1.1 GigabitEthernet0/0/1 
172.16.31.0/24 RIP OU D 192.168,1.6 GigabitEthernet0/0/2 
RIP routing table status : <Inactive> 
Destinations : 0 Routes : 0 
R3 学 习 到 的 RIP 路 由 如 下 : 
<R3>display ip routing-table protocol rip 
Route Flags: R - relay, D - download to fib 
Public routing table : RIP | 
Destinations : 2 Routes : 2 
RIP routing table status ; <Active> 
Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
172.16.1.0/24 RIP 100 2 Be 192.168.1.5 GigabitEthernet0/0/1 
192.168.1.0/30 RIP 100 1 D 192,168.,1.5 GigabitEthernet0/0/1 


RIP routing table status : <Inactive> 
Destinations ; 0 Routes : 0 
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如 此 一 来 ， 便 实现 了 全 网 各 个 网 段 的 互通 。 
2.4.2 ”案例 2: Silent-lnterface 


在 图 2-32 所 示 的 网 络 中 ，R1 及 R2 运行 RIPv2， 为 了 使 得 R2 能 够 通过 RIP 学 习 
到 去 往 192.168.1.0/24 的 路 由 ， 我 们 需要 在 R1 的 GE0/0/1 接 侣 上 激活 RIPv2， 但 是 ， 
GE0/0/1 接口 一 旦 激活 RIPv2，R1 便 会 周期 性 地 从 该 接口 发 送 Response 报 文 ， 然 而 
其 直 连 的 网 段 中 并 不 存在 其 他 的 RIP 路 由 器 ,因此 这 些 RIP 报 文 实际 上 造成 了 该 网 段 
内 PC 的 额外 负担 。 解 决 这 个 问题 的 办 法 非常 简单 ， 就 是 将 R1 的 GE0/011 接口 配置 
为 Silent-Interface。 






192.168.12.0/24 


”图 2-32 Silent-Interface 的 配置 


Ri 的 配置 如 下 : 
[Rljrip 1 
[Ri-rip-l]version2 
[R1-rip-1jnetwork 192.168.1.0 
[Rl-rip-l jnetwork 192.168.12.0 
[Rl-rip-1]silent-interface GigabitEthernet 0/0/1 
在 Rl1 的 配置 中 ，silent-interface GigabitEthernet 0/0/1 命令 用 于 将 GE0/0/1 接口 配 
置 为 Silent-Interface。 如 此 一 来 ，R1 将 不 会 再 从 该 接口 发 送 Response 报 文 。 
R2 的 配置 如 下 : 
[R2]rip 1 
[R2-rip-1]version 2 
[R2-rip-l]network 192.168.12.0 
完成 上 述 配置 后 ， 首 先 在 R1 上 查看 一 下 RIP 进程 1 的 全 局 信息 : 
<Rl>display rip 1 
Public VPN-instance 
RIP process : 1 
RlPversion :2 
Preference : 100 


Checkzero : Enabled 
Default-cost :0 
Summary : Enabled 


Host-route :Enabled 

Maximum number of balanced paths : 8 

Update time :30 sec Age time : 180 sec 
Garbage-collect time : 120 sec 

Graceful restart : Disabled 
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BFD : Disabled 
Silent-interfaces : 
GigabitEthernet0/0/1 
Default-route : Disabled 
Verify-source : Enabled 


Networks : 
192.168.1.0 192.168.12.0 
Configured peers :None 


Number of routes in database : 2 
Number of interfaces enabled : 2 
Triggered updates sent :0 
Number of route changes :0 
Number of replies to queries : ] 
Number of routes in ADV DB :2 


在 以 上 输出 的 信息 中 ， 您 可 以 看 到 ，GE0/0/1 接口 已 经 被 配置 为 Silent-Interface。 值 
得 注意 的 是 ， 虽 然 Rl1 的 GE0/0/1 接口 被 配置 为 Silent-Interface， 但 是 该 接口 由 于 已 经 激 
活 了 RIPv2, 因此 R1 从 GE0/0/2 接口 发 送 的 Response 报 文 会 携带 到 达 192.168.1.0/24 的 
路 由 信息 ， 因 此 R2 也 就 能 够 学 习 到 去 往 该 网 段 的 路 由 了 。 

R2 的 路 由 表 中 ，RIP 路 由 信息 如 下 : 


Route Flags: R - relay, D - download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table : RIP 
Destinations : 1 Routes ; I 


RIP routing table status : <Active> 


Destinations : 1 Routes: 1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 


192.168.1.0/24 RIP 100 1 D 192.168.12.1 GigabitEthernet0/0/1 


RIP routing table status : <Inactive> 
Destinations : 0 Routes:0 


2.4.3 ”案例 3: RIP 路 由 手工 汇总 


在 图 2-33 中 ，GS_R1 及 GS_R2 为 两 台 汇 涌 层 路 由 器 ， 这 两 台 路 由 器 分 别 下 联 4 个 
终 闹 网 段 ， 同 时 还 上 联 核心 层 路 由 器 Core。 为 了 让 网 络 中 的 路 由 器 都 能 够 动态 地 学 习 到 
去 往 全 网 各 个 网 段 的 路 由 ， 我 们 将 在 这 三 台 路 由 器 上 部 署 RIPv2。 

GS_RI1 的 配置 如 下 : 

[GS _ Rlljrip 1 

[GS _ Rl-rip-llversion 2 

[GS Rl-rip-l network 192.168.1.0 

[GS Rl-rip-l]lnetwork 172.16.0.0 





1 “在 上 述 配置 中 , network 172.16.0.0 命令 将 会 把 Rl 的 GE2/0/0、GE2/0/1、GE2/0/2 
及 GE2/0/3 接口 都 激活 RIPV2， 因 为 这 4 个 接口 使 用 的 IP 网 段 是 172.16.0.0/16 内 的 
子 网 。 
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Core 的 配置 如 下 : 
[Corejrip 1 

[Core-rip-l]version 2 

[Core-rip-] jnetwork 192.168.1.0 
GS_R2 的 配置 如 下 : 
[GS_R2jrnp 1 
[GS_R2-rip-J]version 2 

[GS R2-rip-l]network 192.168.1.0 
[GS_R2-rip-llnetwork 172.16.0.0 


完成 上 述 配置 后 ， 首 先 碍 看 一 下 每 台 路 由 器 所 学 习 到 的 RIP 路 由 。 


GE0O/0/] 
192.168.1.2/30 


GEO/0/1 
192.168.1.1/30 


GS_RI 


GEO/0/2 
192.168.1.5/30 


GEO/U/1 
192.168.1.6/30 


GS_R2 








GE2/0/0: 172.16.0.1/24 
GE2/0/1: 172.16.1.1/24 
GE2/0/2: 172.16.2.1/24 
GE2/0/3: 172.16.3.1/24 


GE2/0/0: 172.16.4.1/24 
GE2/0/1: 172.16.5.1/24 
GE2/0/2: 172.16.6.1/24 
GE2/0/3: 172.16.7.1/24 


图 2-33 ”RIPv2 路 由 汇总 


GS_R1 学 习 到 的 RIP 路 由 如 下 : 
<GS Rl>display ip routing-table protocol rip 
Route Flags: R - relay, D - download to fib 
Public routing table : RIP 

Destinations : 5 Routes :5 


RIP routing table status : <Active> 
_ Destinations :5 Routes :5 


Destination/Mask Proto Pre Cost Flags NextHop Interface 


192.168.1.2 GigabitEthermet0/0/1 
192.168.1.2 GigabitEthernet0/0/1 
192.168.1.2 GigabitEthernet0/0/1 
192.168.1.2 GigabitEthermetO/0/ 
192.168.1.2 GigabitEthernet0/0/1 


172.16.4.0/24 RIP 100 
172.16.5.0/24 RIP 100 
172.16.6.0/24 RIP 100 
172.16.7.0/24 RIP 100 
192.168.1.4/30 RIP 100 


一 下 OO ko it to 
sli- 


RIP routing table status ; <Inactive> 
Destinations : 0 Routes :0 
Core 学 习 到 的 RIP 路 由 如 下 : 
<Core>display ip routing-table protocol rip 
Route Flags: R - relay, D - download to fib 


Public routing table : RIP 
Destinations : 8 Routes : 8 


RIP routing table status : <Active> 
Destinations : 8 Routes : 8 
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CGC 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Destination/Mask Proto Pre” ‘Cost Flags 
172.16.0.0/24 RIP 100 1 D 
172.16.1.0/24 RIP 100 1 D 
172.16.2.0/24 RIP 100 1 D 
172.16.3.0/24 RIP 100 1 D 
172.16.4.0/24 RIP 100 1 D 
172.16.5.0/24 RIP 100 1 D 
172.16.6.0/24 RIP 100 1 D 
172.16.7.0/24 RIP ROO D 

RIP routing table status : <Inactive> 

Destinations : 0 Routes :0 

GS_R2 学 习 到 的 RIP 路 由 如 下 : 

<GS R2>display ip routing-table protocol rip 

Route Flags: R - relay, D - download to fib 

Public routing table : RIP 

Destinations : 5 Routes :5 

RIP routing table status : <Active> 

Destinations : 5 Routes ; 5 

Destination/Mask Proto Pre Cost Flags 
172.16.0.0/24 RIP 100 2 D 
172.16.1.0/24 RIP 100 2 D 
172.16.2.0/24 RIP 100 2 D 
172.16.3.0/24 RIP 1 D 

192.168.1.0/30 ~ RIP 100 ] D 

RIP routing table status : <Inactive> 

Destinations : 0 Routes : 0 


NextHop 


192.168.1.1 
192.168.1.1 
192.168.1.1 
192.168.1.1 
192.168.1.6 
192.168.1.6 
192.168.1.6 
192.168.1.6 


NextHop 


192.168.1.5 
192.168.1.5 
192.168.1.5 
192.168.1:S 
192.168.1.5 


Interface 


GigabitEthernet0/0/1 
GigabitEthernet0/0/1 
GigabitEthernet0/0/]1 
GigabitEthernet0/0/1 
GigabitEthernet0/0/2 
GigabitEthernet0/0/2 
GigabitEthernet0/0/2 
GigabitEthernet0/0/2 


Interface 


GigabitEthernet0/0/1 
GigabitEthernetO/0/1 
GigabitEthernet0/0/1 
GigabitEthernet0/0/1 
GigabitEthernet0/0/1 


现在 ， 所 有 的 路 由 器 都 已 经 获知 了 到 达 全 网 各 个 网 段 的 路 由 。 实 际 上 这 三 人 台 路 由 器 
的 路 由 表 是 存在 可 优化 的 空间 的 。 令 人 欣慰 的 是 ， 这 个 网 络 的 全 编 址 是 科学 且 合 理 的 ， 
因此 可 以 通过 部 署 RIP 路 由 汇总 来 简化 网 络 中 路 由 器 的 路 由 表 。 

RIPv2 是 文 持 路 由 目 动 汇总 的 , 在 RIP 的 配置 视图 下 , 使 用 summary 命令 即 可 激活 
RIPv2 的 路 由 自动 汇总 功能 。 以 华为 AR2220 路 由 器 为 例 ， 缺 省 已 经 激活 了 RIP 路 由 自 
动 汇总 。 可 以 看 一 下 GS_R1 的 RIP 协议 信息 : 


<GS Ril>display rip 
Public VPN-instance 


RIP process | 

RIP version 
“ Preference : 100 

Checkzero : Enabled 
Default-cost :0 
Summary : Enabled 
Host-route : Enabled 
Maximum number of balanced paths :8 
Update time : 30 sec Age time : 180 sec 
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Garbage-collect time : 120 sec 
Graceful restart : Disabled 
BFD : Disabled 


那么 既然 已 经 缺 省 激活 了 路 由 目 动 汇总 ， 为 什么 在 完成 相应 的 配置 后 ， 在 三 台 路 由 
器 上 依然 没有 看 到 相关 现象 呢 ? 这 是 因为 如 果 接 口 激活 了 水 平分 割 或 毒性 逆转 ， 那 么 目 
动 汇总 功能 将 不 会 生效 。 这 三 台 路 由 器 的 接口 缺 省 已 经 激活 了 RIP 水平 分割 ， 因 此 在 这 
个 场景 中 ， 在 这 些 路 由 器 的 路 由 表 中 看 到 的 依然 都 是 明细 路 由 。 

以 GS RI1 为 例 ， 其 GE0/0/1 接口 的 RIP 信息 如 下 : 


<GS Rl>display rip 1 interface GigabitEthernet 0/0/1 verbose 
GigabitEthernet0/0/1(192.168.1.1) - 


State sp MTU : S00 

Metricin :0 

Metricout v 

Input : Enabled - Output  : Enabled 
_ Protocol :RIPv2 Multicast 

Send version :RIPv2 Multicast Packets 

Receive version :RIPv2 Multicast and Broadcast Packets 

Poison-reverse : Disabled 

Split-Horizon : Enabled 

Authentication type : None 

Replay Protection : Disabled 


为 了 使 GS_R1 的 RIP 路 由 自动 汇总 生效 ,不同 Core 通告 其 直 连 的 4 个 网 段 的 明细 
路 由 ， 而 只 通告 汇总 路 由 ， 可 以 选择 关闭 其 GE0/0/1 接口 的 水 平分 割 : 

[GS_RI]interface GigabitEthernet 0/0/] 

[GS_R1-GigabitEthernet0/0/1]undo rip split-horizon 


如 此 一 来 , 由 于 GS_R1 处 在 172.16.0.0/16 及 192.168.1.0/24 这 两 个 主 类 网 络 的 边界 ， 
因此 当 它 向 192.168.1.0/24 网 络 通 告 172.16.0.0/16 网 络 的 子 网 路 由 时 ， 它 将 通告 主 类 网 
络 路 由 172.16.0.0/16“〔 而 不 会 通告 明细 路 由 ) 一 一 这 便 是 RIP 路 由 目 动 汇总 的 效果 。 此 
时 Core 学 习 到 的 RIP 路 由 如 下 : 

<Core>display ip routing-table protocol rip 

Route Flags: R - relay, D - download to fib 


一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table : RIP 
Destinations : 6 Routes :6 


RIP routing table status : <Active> 


Destinations : 6 Routes : 6 
Destination/Mask Proto, ,Pre Cost Flags NextHop ; Interface 

172.16.0.0/16 RIP 100 1 D 192.168.1.1 GigabitEthernet0/0/1 
172.16.4.0/24 -RIP 100 | D 192.168.1.6 GigabitEthernet0/0/2 
172.16.5.0/24 RIP 100 ] D 192.168.1.6 GigabitEthernet0/0/2 
172.16.6.0/24 RIP 100 1 D 192.168.1.6 GigabitEthernet0/0/2 
172.16.7.0/24 RIP 100 ] D 192.168.1.6 GigabitEthernet0/0/2 

192.168.1.0/24 RIP 100 l D 192.168.1.1 GigabitEthernet0/0/1 


RIP routing table status : <Inactive> 
Destinations : 0 Routes :0 
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您 可 能 已 经 发 现 了 ， 原 先 在 Core 的 路 由 表 中 到 达 GS_R1 所 直 连 的 4 个 终 病 网 段 的 
明细 路 由 现在 已 经 消失 了 ， 取 而 代 之 的 是 汇总 路 由 172.16.0.0/16， 如 此 可 见 ，GS _RI 的 
路 由 自动 汇总 功能 生效 了 。 

然而 将 接口 的 RIP 水 平分 割 关 闭 始终 是 存在 一 定 的 隐患 的 ， 因 为 RIP 的 路 由 防 环 在 
很 大 程度 上 依赖 于 水 平分 割 。 因 此 还 是 将 GS RI1 的 GE0/0/1 的 水 平分 割 开 局 ， 再 另 想 
他 法 。 

实际 上 ， 在 RIP 配置 视图 下 ， 使 用 summary always 命令 可 以 使 得 路 由 需 无 论 水平 
分 割 或 毒性 逆转 激活 与 否 ， 都 执行 路 由 目 动 汇总 。 因 此 ， 调 整 GS_R1 的 配置 如 下 : 

[GS_Rljrip 1 

[GS Rl-rip-l]summary always 

将 GS_R2 的 配置 也 做 调整 : 

[GS_R2]rip 1 

[GS R2-rip-l]summary always 


如 此 一 来 ，GS_R1 及 GS_R2 都 将 执行 路 由 目 动 汇总 。 然 而 正如 本 书 在 “路 由 汇总 ” 
一 节 中 所 讨论 过 的 ， 在 类 似 场 景 中 ， 如 果 GS_R1 及 GS_R2 都 执行 路 由 自动 汇总 ， 那 么 
路 由 将 在 Core 上 产生 问题 。 此 时 Core 的 路 由 表 中 的 RIP 路 由 如 下 : 

<Core>display ip routing-table protocol rip 

Route Flags: R - relay, D - download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table : RIP 
Destinations : 1 Routes : 2 


RIP routing table status : <Active> 


Destinations : 1 Routes : 2 
Destination/Mask Proto _ Pre Cost © Flags NextHop Interface 
172.16.0.0/16 -RIP 100 1 D 192.168.1.1 GigabitEthernet0/0/1 
RIP 100 1 D 192.168.1.6 GigabitEthernet0/0/2 


RIP routing table status ; <Inactive> 
Destinations : 0 Routes :0 


由 于 GS R1 及 GS _R2 都 问 Core 通告 汇总 路 由 172.16.0.0/16， 并 且 这 两 条 路 由 的 度 
量 值 是 相等 的 , 因此 Core 将 会 把 这 两 条 RIP 路 由 都 加 载 到 其 路 由 表 中 ,此 时 关于 该 目的 
网 段 ，Core 将 在 GS R1 及 GS _R2 这 两 个 下 一 跳 执 行 等 价 负载 分 担 。 如 此 一 来 ， 以 
172.16.1.0/24 为 例 ， 当 Core 转发 到 达 该 网 段 的 数据 包 时 ， 就 有 可 能 将 其 发 往 下 一 跳 GS_ 
R2， 从 而 导致 报 文 丢失 。 

造成 这 个 问题 的 根本 原因 在 于 ，RIP 自动 汇总 产生 的 路 由 是 不 精确 的 ， 汇 总 路 由 的 
颗粒 度 太 大 ， 它 只 能 是 主 类 网 络 路 由 。 因 此 ， 针 对 这 个 场景 ， 手 工 路 由 汇总 是 一 个 更 佳 
的 方案 。 实 际 上 ， 正 如 大 家 所 看 到 的 ， 这 个 网 络 的 IP 编 址 是 非常 科学 的 ，GS_R1 所 直 
连 的 4 个 终端 网 段 : 172.16.0.0/24 至 172.16.3.0/24 是 连续 的 子 网 , 可 以 使 用 172.16.0.0/22 
将 它们 刚好 “ 襄 括 ” 住 。 同 理 ， 也 可 以 使 用 172.16.4.0/22 将 GS_R2 所 直 连 的 4 个 终端 网 
段 刚好 “ 赛 括 ” 住 。 如 此 一 来 ，GS_R1 仅 需 同 Core 通告 汇总 路 由 172.16.0.0/22 即 可 ， 
而 Core 便 可 以 通过 这 条 汇总 路 由 到 达 GS _R1 直 连 的 4 个 终端 网 段 , 同 理 GS_R2 仅 需 向 
Core 通告 汇总 路 由 172.16.4.0/22。 
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GS_R1 的 手工 路 由 汇总 配置 如 下 : 

[GS_Rilinterface GigabitEthernet 0/0/1 

[GS_ RI1-GigabitEthernet0/0/1 lrip summary-address 172.16.0.0 255.255.252.0 
GS_R2 的 手工 路 由 汇总 配置 如 下 : 

[GS_R2]jinterface GigabitEthernet 0/0/1 

[GS R2-GigabitEthernet0/0/1 1]rip summary-address 172.16.4.0 255.255.252.0 
完成 上 述 配 置 后 ， 来 看 看 Core 的 路 由 表 中 的 RIP 路 由 : 
<Core>display ip routing-table protocol rip 

Route Flags: R -relay,D -download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table ; RIP 
Destinations : 2 Routes : 2 


RIP routing table status ; <Active> 


Destinations ; 2 ”， Routes : 2 
Destination/Mask Proto Pre Cost Flags € NextHop Interface 
172.16.0.0/22 RIP 100 Ly 192.168.1.1 GigabitEthernet0/0/1 
172.16.4.0/22 RIP 100 1 D 192.168.1.6 GigabitEthernet0/0/2 


2.4.4 案例 4: RIP 报 文 认证 


在 图 2-34 中 ，R1 及 R2 连接 在 一 台 交 换 机 上 ， 双 方 的 接口 均 配 置 相同 网 段 的 全 地 
址 并 运行 RIPV2， 开 始 交 换 RIP 路 由 。 在 正常 情况 下 ，R1 应 该 能 通过 RIP 从 R2 获知 到 
达 192.168.2.0/24 的 路 由 。 此 时 网 络 中 出 现 了 一 个 攻击 者 R3，R3 也 接 入 到 了 交换 机 上 ， 
其 接口 也 配置 了 相同 网 段 的 了 P 地址 ,并 激活 RIPv2, 随后 R3 开始 问 交 换 机 泛 洪 Response 
报 文 。 如 果 R3 也 通过 RIP 癌 网 络 中 通告 到 达 192.168.2.0/24 的 路 由 ， 那 么 R1 的 路 由 表 
势必 受到 影响 。 如 果 R3 通告 的 192.168.2.0/24 路 由 的 度量 值 与 R2 所 通告 的 该 路 由 度量 
值 相等 ， 那 么 R1 便 会 在 这 两 个 下 一 跳 执行 等 价 负载 分 担 ， 当 其 收 到 去 往 该 网 段 的 数据 
包 时 , -就 有 可 能 将 它们 转发 到 R3， 从 而 导致 业务 中 断 。 当 然 ， 如 果 R3 通告 的 路 由 的 跳 
数 比 R2 的 更 小 ， 那 么 更 将 刷新 R1 的 路 由 表 ， 导 致 业务 彻底 中 断 。 


192.168.2.0/24 






GEO0O/0/] 
192.168.123.1/24 


GEO/O/1 
192.168.123.2/24 





GEU/U/1 
192.168.123.3/24 


R3 (攻击 者 ) 
图 2-34 RIPv2 报 文 认证 


RIPv2 支持 报 文 认证 ， 因 此 ， 只 需要 在 R1 及 R2 的 接口 上 激活 RIP 报 文 认证 ， 即 可 
解决 上 述 问 题 。 
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RI1 的 配置 如 下 : 

[Rl]rip 1 

[R1-rip-l]version 2 

[Rl1-rip-l Inetwork 192.168.123.0 
[Rl-rip-l]quit . 


[Rl1linterface GigabitEthernet 0/0/1 

[R1-GigabitEthernet0/0/1 ]rip authentication-mode simple plain Hcnp123 
R2 的 配置 如 下 : 

[R2]rip 1 

[R2-rip-ljverslon 2 

[R2-rip-l lnetwork 192.168.123.0 

[R2-rip-1jnetwork 192.168.2.0 

[R2-rip-1]jquit 


[R2]interface GigabitEthernet 0/0/1 

[R2-GigabitEthernet0/0/1]rip authentication-mode simple plain Henp123 

在 Rl 及 R2 的 配置 中 ,rip authentication-mode simple plain Henp123 命令 用 于 在 路 
由 笑 的 接口 上 激活 RIP 报 文 认证 ，simple 关键 字 表 示 认 证 的 方式 为 简单 认证 ， 即 明文 认 
证 ， 当 使 用 这 种 认证 方式 时 ，RIP 路 由 器 将 口令 Hcnp123 以 明文 的 形式 在 RIP 报 文中 携 
向 ,如 图 2-35 所 示 , 这 显然 是 不 安全 的 , 因为 攻击 者 可 以 在 网 络 中 轻松 地 捕获 RIP 报 文 ， 
并 使 用 报 文 分 析 工 具 碍 看 其 中 的 明文 口令 。 另 外 ， 命 令 中 的 plain 关键 字 表 示 口 令 将 以 
明文 的 方式 存储 在 配置 文件 中 ， 因 此 使 用 display 命令 查看 设备 的 配置 文件 时 ， 能 直接 
看 到 我 们 所 配置 的 口令 : 


<R1>display current-configuration interface tenet 1 
[V200R003C00] 
# 
interface GigabitEthernet0/0/1 

ip address 192.168.123.1 255.255.255.0 

rip authentication-mode simple plain Henp123 

Routing Information Protocol 
command: Response (2) 


Version: RIPV2 (2) 
outing Domain: : 
如 tion: 





SFESS "Te ' 
4 IP NO OES 192. 168 ee ‘0, Metric; 1 


图 2-35 使 用 simple 关键 字 时 ， 口 令 以 明文 的 方式 在 Response 报 文中 呈现 
这 显然 更 加 不 安全 ， 因 此 建议 使 用 cipher 关键 字 替 代 plain， 命 令 如 下 : 


[Rllinterface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]rip authentication-mode simple cipher Henp123 
使 用 如 上 方法 配置 报 文 认 证 ， 在 查看 设备 配置 时 ， 是 无 法 看 到 明文 口令 的 : 
[Rl1-GigabitEthernet0/0/1]display this 
[V200R003C00] \ 
# 
interface GigabitEthernet0/0/1 
ip address 192.168.123.1 255.255.,255.0 
rip authentication-mode simple cipher %$9%3$h2EU*,N:gER6&20UIT.)1wPgU%$9%$ 


因此 ，cipher 关键 字 相 比 之 下 更 加 安全 ， 然 而 虽然 口令 是 以 密 文 的 形式 存储 在 配置 
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文件 中 ， 但 是 由 于 使 用 了 simple 关键 字 ， 故 路 由 器 在 发 送 RIP 报 文 时 ， 口 令 依然 是 以 明 
文 的 方式 在 Response 报 文中 被 携带 。 

在 Rl 及 R2 配置 了 RIP 报 文 认证 后 ,两 台 路 由 器 的 接口 将 对 接收 的 RIP 报 文 进行 认 
证 ， 如 果 发 现 口令 不 匹配 ， 那 么 收 到 的 RIP 报 文 将 被 丢弃 。 所 以 ，R3 发 送 过 来 的 、 携 市 
着 非法 路 由 信息 的 Response 报 文 将 被 直接 丢弃 。 尽 管 如 此 ， 正 如 前 文 所 说 ，simple 这 一 
报 文 认 证 方式 是 不 够 安全 的 ， 更 加 推荐 的 报 文 认证 方式 是 MD5。 在 接口 视图 下 使 用 rip 
authentication-mode mds 命令 可 激活 基于 MD5 的 RIP 报 文 认证 。 在 该 条 命令 中 ， 有 两 
个 关键 字 可 供 选择 : usual 及 nonstandard， 这 两 个 关键 字 用 于 指定 MD5 的 类 型 ， 其 中 
usual 关键 字 表 示 MD5 认证 报 文 使 用 通用 报 文 格式 (私有 标准 )，nonstandard 关键 字 表 
示 MD5 认证 报 文 使 用 非 标准 报 文 格式 (IETF 标准 )。 

R1 的 接口 配置 修改 如 下 : 

[Rljinterface GigabitEthernet 0/0/1 

[R1-GigabitEthernet0/0/1 ]rip authentication-mode mds usual cipher HCNP(@123 

R2 的 接口 配置 修改 如 下 : 


[R21]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]rip authentication-mode mds usual cipher HCNP@123 


如 此 一 来 ，R1 及 R2 的 接口 就 开启 了 基于 MD5 的 报 文 认 证 。 此 时 ， 双 方 交 互 的 
Response 报 文中 ，HCNP@123 口令 不 再 以 明文 的 方式 被 携带 ， 因 此 安全 性 得 到 了 提升 。 


2.4.5 “案例 5: 配置 接口 的 附加 度量 值 


在 图 2-36 所 示 的 网 络 中 ，R1、R2、R3、R4 及 R5 运行 了 RIP 路 由 协议 ，R5 在 RIP 
中 发 布 路 由 192.168.5.0/24。R1 会 分 别 从 R2 及 R3 学 习 到 去 往 该 网 段 的 路 由 ， 从 R2 学 
习 到 的 路 由 的 度量 值 为 2 跳 , 而 从 R3 学 习 到 的 路 由 的 度量 值 为 3 跳 。 此外, Rl1 也 癌 RIP 
发 布 路 由 192.168.1.0/24， 最 终 RS 能 够 分 别 从 R2 及 R4 学 习 到 该 条 RIP 路 由 。 


E1/0/0 
192.168.12.2 二 #4 E1/0/l 













RS 





El1/0/0 


192.168.1.0/24 192.168.5.0/24 


GEO/0/1 


GEO/0/1 2 S22 GEO0/0/2 


GEO/0/1 
图 2-36 配置 接口 的 附加 度量 值 
现在 ， 观 察 一 下 R1 路 由 表 中 的 RIP 路 由 : 


<Rl>display ip routing-table protocol rip 
Route Flags: R - relay, D - download to fib 
Public routing table : RIP 

Destinations : 4 Routes ; 5 


RIP routing table status : <Active> 
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Destinations : 4 Routes : 5 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.5.0/24 RIP 100 2 D 192.168.12.2 Ethernet1/0/0 
192.168.25.0/24 RIP 100 1 D 192.168.12.2 Ethernetl/0/0 
192.168.34.0/24 RIP 100 ] D 192.168.13.3 GigabitEthernet0/0/] 
192.168.45.0/24 RIP 100 2 D 192.168.13.3 GigabitEthernet0/0/1 
RIP 100 2 D 192.168.12.2 Ethernet1/0/0 


RIP routing table status : <Inactive> 
Destinations : 0 Routes :0 

显然 ，R1 优选 了 R2 通告 过 来 的 192.168.5.0/24 路 由 ， 因 为 这 条 路 由 的 度量 值 更 小 。 
同 理 ， 对 于 192.168.1.0/24，R5 也 会 通过 RIP 获知 到 达 该 网 段 的 路 由 ， 并 且 优 选 R2 所 通 
告 的 RIP 路 由 。 

如 此 一 来 , 当 192.168.1.0/24 与 192.168.5.0/24 这 两 个 网 段 的 用 户 在 进行 通信 的 时 候 ， 
双方 互通 的 流量 是 走 在 R1 一 R2 一 R5 这 段 低 市 宽 链 路 上 的 ， 而 R1 一 R3 一 R4 一 R5 这 一 侧 
高 带宽 的 链 路 则 不 会 承载 这 两 个 网 段 互通 的 任何 流量 ， 这 显然 是 不 合理 的 。 一 个 更 加 合理 
的 设计 是 将 双方 互通 的 流量 切换 到 高 第 宽 链 路 上 ， 而 R2 这 一 侧 的 链 路 则 作为 备份 路 径 。 

RIP 支持 在 接口 上 进行 相应 的 配置 ， 从 而 将 该 接口 接收 或 发 送 的 特定 路 由 的 度量 值 
在 原 有 的 基础 上 增加 一 个 目 定 义 的 值 ， 目 的 是 影响 RIP 路 由 的 优选 。 

R1 的 配置 如 下 : 

[R1lacl 2000 


[R1-acl-basic-2000]rule permit source 192.168.5.0 0.0.0.0 
[Rl-acl-basic-2000]guit 


[RiIjinterface Ethernet1/0/0 
[R1-Ethernetl/0/0]rip metricin 2000 2 


在 上 述 配 置 中 ，ACL2000 用 于 匹配 路 由 192.168.5.0 (Basic ACL 只 能 匹配 路 由 的 目 
的 网 络 地 址 ， 而 不 能 匹配 路 由 的 目的 网 络 掩 码 )， 而 接口 视图 下 的 rip metricin 2000 2 命 
令 则 用 于 调整 RIP 接口 的 附加 度量 值 ， 这 条 命令 造成 的 影响 是 : 当 R1 在 Ethernet1/0/0 
接口 上 收 到 192.168.5.0/24 这 条 RIP 路 由 (也 即 ACL2000 所 匹配 住 的 路 由 ) 的 更 新 时 ， 它 
会 将 该 路 由 的 度量 值 在 原 有 的 基础 上 增加 2 跳 。 由 于 R2 通告 给 R1 的 192.168.5.0/24 路 
由 的 度量 值 为 2 跳 ， 因 此 当 R1 在 接口 Ethernet1/0/0 上 收 到 该 条 路 由 后 ， 将 其 度量 值 增 
加 2 跳 后 再 加 载 到 其 路 由 表 ， 如 此 一 来 ， 该 路 由 最 终 的 度量 值 变 为 4 跳 ， 而 这 个 度量 值 
的 调整 ， 将 使 R1 优选 R3 通告 过 来 的 192.168.5.0/24 路 由 。 现 在 ， 从 192.168.1.0/24 去 往 
192.168.5.0/24 的 数据 包 将 会 被 R1 转 发 给 R3, 这 些 流量 将 通过 高 带宽 链 路 送 往 目 的 网 段 。 

但 这 还 不 够 ， 因 为 从 192.168.1.0/24 去 往 192.168.5.0/24 的 数据 包 走 的 是 R1I 一 R3 一 
R4 一 RS 这 段 路 径 ， 而 从 192.168.5.0/24 去 往 192.168.1.0/24 的 数据 包 目 前 依然 走 的 是 
R5 一 R2 一 R1 这 段 低 帝 宽 路 径 ， 这 种 现象 被 称 为 数据 的 往返 路 径 不 一 致 。 一 个 理想 的 场 
景 是 ， 从 A 到 B 的 数据 沿 看 一 条 路 径 转 发 ， 而 从 B 到 A 的 回程 数据 也 沿 相 同 的 路 径 返 
回 。 为 了 实现 这 个 目的 ， 在 本 案例 中 ， 我们 还 需要 再 做 调整 ， 使 得 Rs 优选 R4 所 通告 的 
192.168.1.0/24 路 由 (而 不 是 优选 R2 通告 的 路 由 )。 要 实现 这 个 目的 ， 有 两 种 方法 : 可 以 
在 R5 的 Ethernet1/0/0 接口 做 配置 ， 使 其 在 该 接口 收 到 192.168.1.0/24 路 由 时 增加 一 定 度 
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量 值 ， 当 然 也 可 以 在 R2 的 Ethemet1/0/1 接口 做 配置 ， 使 其 在 该 接口 发 送 192.168.1.0/24 
路 由 时 增加 一 定 度量 值 。 后 者 的 配置 如 下 : 


[R2]acl 2000 
[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.0 
[R2-acl-basic-2000]quit 


[R2]interface Ethernet1/0/1 
[R2-Ethernet1/0/1]rip metricout 2000 3 


R2 的 接口 Ethernet1/0/1 上 所 配置 的 rip metricout 2000 3 命令 ， 将 使 其 在 该 接口 发 
送 ACL2000 所 匹配 的 路 由 时 将 路 由 的 度量 值 增加 3 跳 ， 因 此 原本 R2 从 该 接口 通告 给 
RS 的 192.168.1.0/24 路 由 的 度量 值 为 2 跳 ， 经 过 上 述 配 置 后 ， 它 通告 给 RS 的 该 条 路 由 
的 度量 值 就 变 成 了 4 跳 ， 而 相 比 于 R4 所 通告 的 192.168.1.0/24 路 由 ( 跳 数 为 3)，R5 当 
然 会 优选 后 者 通告 过 来 的 路 由 。 如 此 一 来 就 实现 了 192.168.1.0/24 与 192.168.5.0/24 这 两 
个 网 段 之 间 的 互通 流量 的 转发 路 径 管 控 ， 将 流量 引导 到 高 市 宽 的 路 径 上 。 


2.4.6 ”案例 6: 配置 RIP 发 布 默认 路 由 


在 图 2-37 所 示 的 网 络 中 ，Core1、Core2 及 Core3 为 三 台 核 心 层 路 由 器 ， 它 们 分 别 下 联 
着 一 些 终端 网 络 ， 同 时 又 上 联 出 口 路 由 器 
OR，OR 则 连接 大 Internet 出 口 线路 。 为 了 Ce 
让 网 络 中 的 各 个 网 段 实 现 数据 互通 ， 我 们 
在 这 4 人 台 路 由 器 上 都 运行 了 RIPv2， 邦 外， 
为 了 让 OR 路 由 右 能 够 将 访问 Internet 的 数 
据 包 转发 出 去 ， 又 在 OR 上 配置 一 条 指 癌 
Intermet 的 静态 默认 路 由 。 然 而 Corel、 
Core2 及 Core3 如 何 将 下 联 终 站 网 络 访问 
Internet 的 流量 转发 到 出 口 路 由 右 OR 呢 ? 
为 了 实现 这 个 目的 ， 可 以 在 Corel、Core2 
及 Core3 上 配置 下 一 跳 为 OR 的 静态 默认 
路 由 ， 然 而 这 种 方法 是 非常 宁 朱 的 ， 一 来 
存在 额外 的 手工 配置 量 ， 二 来 静态 的 默认 
路 由 也 无 法 根据 网 络 拓扑 的 变化 作出 动态 
响应 。 因 此 ， 一 个 更 加 推荐 的 方法 是 ， 通 过 RIP 动态 地 传递 默认 路 由 一 一 在 OR 上 通过 RIP 
下 发 默认 路 由 ， 从 而 让 网 络 中 的 RIP 路 由 器 都 能 动态 地 学 习 到 这 条 默认 路 由 。 

OR 的 关键 配置 如 下 : 


# 配 置 一 条 指向 Internet 的 默认 路 由 : 
[OR]Jip route-static 0.0.0.0 0.0.0.0 200.1.1.2 


200.1.1.2 





OR 
192.168.12.1 


图 2-37 RIP 发 布 默认 路 由 


# 下 发 RIP 默认 路 由 (注意 ，OR 的 RIP 配置 未 有 全 部 贴 出 ，network 命令 被 忽略 ): 
[OR]rip 

[OR-rip-1]version 2 

[OR-rip-l]default-route originate cost 1 


在 RIP 配置 视图 中 执行 的 default-route originate 命令 用 于 在 RIP 发 布 一 条 默认 路 
由 ，cost 关键 字 用 于 设置 该 默认 路 由 的 度量 值 〈 缺 省 时 该 值 为 0)。 完 成 上 述 配 置 后 ， 三 
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台 核 心 层 路 由 器 便 能 够 通过 RIP 学 习 到 这 条 默认 路 由 ， 以 Corel 为 例 : 
<Corel>display ip routing-table protocol rip 
Route Flags: R - relay. D - download to fib 


Public routing table : RIP 
Destinations : 5 Routes : 5 


RIP routing table status ; <Active> 


Destinations : $ Routes : $ 
Destination/Mask Protd Pre Cost Flags NextHop Interface 
0.0,0.0/0 RIP 100 2 D 192.168.12.1 GigabitEthernet0/0/0 


Wes 


如 此 一 来 ， 当 Corel 下 联 终端 网 络 的 用 户 访问 Internet 时 ， 流 量 首先 被 送 达 Corel， 
而 Corel 则 根据 这 条 默认 路 由 , 将 流量 转发 给 OR, OR 再 根据 目 己 配置 的 静态 默认 路 由 将 
流量 转发 到 Internet。Core2 及 Core3 同 理 。 然 而 这 里 有 一 个 小 小 的 问题 ， 那 便 是 当 OR 连 
接 Internet 的 接口 发 生 故 障 时 , 其 指向 Internet 的 静态 默认 路 由 将 会 失效 (由 于 出 接口 失效 ， 
因此 关联 该 出 接口 的 静态 默认 路 由 也 就 不 再 可 用 )， 但 此 时 OR 依然 会 问 RIP 通告 动态 的 
默认 路 由 ， 这 样 导致 的 结果 是 ， 三 台 核 心 层 路 由 器 依然 会 通过 RIP 学 习 到 默认 路 由 ， 因 此 当 
它们 下 联 的 终端 用 户 访问 Intemet 时 ， 流 量 还 是 会 被 转发 给 OR， 然 后 在 OR 这 里 被 丢弃 。 所 
以 实际 上 此 时 三 台 核 心 层 路 由 器 将 终端 网 络 发 往 Internet 的 流量 转发 到 OR 是 没有 意义 的 。 

OR 的 配置 可 以 做 少许 修改 ， 可 在 default-route originate 命令 中 增加 match default 
关键 字 。 在 没有 该 关键 字 之 前 ， 无 论 OR 的 路 由 表 中 是 否 已 经 存在 默认 路 由 ， 它 都 始终 
向 RIP 发 布 一 条 默认 路 由 。 而 使 用 该 关键 字 后 ， 只 当 OR 的 路 由 表 中 存在 其 他 路 由 协议 
或 者 其 他 RIP 进程 产生 的 默认 路 由 时 ，OR 才 会 同 RIP 发 布 默认 路 由 。 此 时 ， 当 OR 连 
接 Internet 的 接口 发 生 故 障 时 ， 其 路 由 表 中 的 静态 默认 路 由 消失 ，OR 将 立即 使 用 一 条 毒 
性 路 由 撤销 原来 发 布 的 RIP 默认 路 由 ， 这 样 一 来 ， 三 台 核 心 层 路 由 器 纷纷 将 RIP 默认 路 
由 从 路 由 表 中 删除 ， 之 前 的 困惑 也 束 得 到 了 解决 。 


2.4.7 案例 7: RIP 路 由 标记 


在 图 2-38 中 ，R2 处 于 RIP 域 的 边界 ， 它 直 连 着 一 个 外 部 网 络 ， 在 该 外 部 网 络 中 存 
在 A、B 两 个 业务 ， 这 两 个 业务 使 用 不 同 的 IP 网 段 。 现 在 R2 配置 了 到 达 这 两 个 业务 网 
段 的 静态 路 由 , 为 了 让 整个 RIP 域 能 够 动态 地 学 习 到 这 些 路 由 , R2 需要 将 静态 路 由 重 分 
发 到 RIP。 由 于 RIP 域内 的 路 由 器 基于 某 种 需求 需要 在 学 习 到 这 些 到 达 外 部 网 络 的 路 由 
后 ， 区 分 出 到 达 A、B 业务 的 路 由 ， 此 时 便 可 以 在 R2 上 完成 相关 操作 ， 使 得 它 将 外 部 
路 由 重 分 发 到 RIP 时 ， 为 它们 设置 不 同 的 路 由 标记 。 

以 下 是 R2 的 配置 示例 : 

[R2]ip route-static 10.1.1.0 24 31.1.1.21 tag 10 

[R2]ip route-static 10.2.2.0 24 31.1.1.21 tag 10 


[R2j]ip route-static 11.1.1.0 24 31.1.1.21 tag 20 
[R2]ip route-static 11.2.2.0 24 31.1.1.21 tag 20 


[R2]rip 
[R2-rip-1]import-route static 
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”外 部 网 络 
A 业务 10.1.1.0/24 

10.2.2.0/24 
B 业务 11.1.1.0/24 上 
11.2.2.024 天 








\ 


到 达 A 业务 网 段 的 静态 路 由 tag=10 
到 达 B 业务 网 段 的 静态 路 由 tag=20 


D 
a . 
TT rr 


图 2-38 ”R2 将 路 由 表 中 的 静态 路 由 重 分 发 到 RIP， 并 且 为 这 些 路 由 设置 标记 


在 以 上 配置 中 ，R2 配置 了 4 条 静态 路 由 ， 其 中 到 达 A 业务 网 段 的 静态 路 由 指定 了 
标记 值 10, 而 到 达 B 业务 网 段 的 静态 路 由 则 指定 了 标记 值 20, 在 ip route-static 命令 中 使 
用 tag 关键 字 可 设置 该 静态 路 由 的 标记 值 。 男 外 ， 在 RIP 配置 视图 下 执行 的 import-route 
static 命令 用 于 将 R2 路 由 表 中 的 静态 路 由 重 分 发 到 RIP。 当 R2 将 静态 路 由 重 分 发 到 RIP 
时 ， 这 些 路 由 的 标记 值 将 会 被 一 并 携带 ， 并 且 填 充 到 Response 报 文 的 “路 由 标记 ”字段 中 。 

完成 上 述 配 置 后 ，RIP 域内 的 路 由 器 即 可 通过 RIP 学 习 到 这 些 路 由 ， 以 R1 的 路 由 
表 为 例 : 

<R1l>display ip routing-table protocol rip 

一 了 Route Flags: R - relay, D - download to fib 


Public routing table : RIP 
Destinations : 12 Routes : 12 


RIP routing table status : <Active> 


Destinations : 12 Routes ; 12 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.1.0/24 RIP 100 1 D 10.1.12.2 GigabitEthernet0/0/0 
10.2.2.0/24 RIP 100 ] D 10.1.12.2 GigabitEthernet0/0/0 
11.1.1.0/24 RIP 100 1 D 10.1.12.2 GigabitEthernet0/0/0 
11.2.2.0/24 RIP 100 1 D 10.1.12.2 GigabitEthernet0/0/0 


ne 


以 10.1.1.0/24 路 由 为 例 ， 查 看 一 下 它 的 详细 信息 : 


<Rl>display ip routing-table 10.1.1.0 verbose 
Route Flags: R -relay, D - download to fib 
Routing Table : Public 

Summary Count : 1 
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Destination: 10.1.1.0/24 


Protocol: RIP Process ID: 1 
Preference: 100 Cost: 1 
NextHop: 10.1.12.2 Neighbour: 10.1.12.2 
State: Active Adv Age: O00hO7mlls 
Tag: 10 Priority: low 
Label: NULL QoSInfo: 0x0 
IndirectID: 0x0 
RelayNextHop: 0.0.0.0 Interface: GigabitEthernet0/0/0 
TunnelID: 0x0 Flags: D 


从 以 上 和 输出 中 ， 可 以 看 到 该 路 由 所 携带 的 标记 。 
当然 ， 碍 看 R1 的 RIP 数据 库 ， 也 能 看 到 这 些 外 部 路 由 及 其 标记 : 
<R1>display rip 1 database verbose 
Advertisement State : [A] - Advertised 
[1] - Not Advertised/Withdraw 
10.0.0.0/8, cost 0, ClassfulSumm 
10.1.1.0/24, cost 1, [A] 
NextHop : 10.1.12.2 Intf : GigabitEthernet0/0/0 
EntryID : Oxb50ea49c Tag :10 
State :RM Active 
10.2.2.0/24, cost 1, [A] 
NextHop : 10.1.12.2 Intf : GigabitEthernet0/0/0 
EntryID : 0xb4b77f04 Tag :10 
State :RM Active 
11.0.0.0/8, cost 1, ClassfulSumm 
11.1.1.0/24, cost 1, [A] 
NextHop : 10.1.12.2 Intf : GigabitEthernet0/0/0 
EntryID : 0xb4b77e7c Tag :20 
State :RM Active 
11.2.2.0/24, cost 1, [Al] 
NextHop : 10.1.12.2 Intf : GigabitEthernet0/0/0 
EntryID : Oxb4b77df4 Tag :20 
State :RM Active 


1. (多 选 ) 以 下 关于 RIP 的 选项 ， 正 确 的 有 (  ) 
A. RIP 报 文 载荷 直接 采用 IP 封装 ， 协 议 号 为 520。 
B. RIPv1l 使 用 广播 的 方式 发 送 协议 报 文 , 而 RIPv2 则 缺 省 使 用 组 播 的 方式 发 送 。 
C. 在 华为 路 由 器 上 ， 在 系统 视图 下 使 用 rip 命令 即 可 创建 一 个 RIP 进程 ， 而 且 
可 以 根据 实际 需要 ， 创 建 多 个 RIP 进程 。 
D. RIPv1l 文 持 路 由 目 动 汇总 ， 可 以 通过 命令 将 缺 省 激活 的 自动 汇总 功能 关闭 。 
2. 〈 多 选 ) 关于 RIP 的 计时 器 ， 以 下 说 法 正确 的 是 (  ) 
A. RIP 更 新 周期 缺 省 为 308， 也 就 是 说 RIP 每 隔 30s〈 存 在 一 定 偏 移 量 ) 在 接口 


第 2 章 RIP 83 


上 泛 洪 一 次 Response 报 文 。 

B. 一 条 RIP 路 由 如 果 老 化 计时 器 超时 ， 那 么 该 路 由 将 保留 在 路 由 表 一 段 时 间 ， 
直到 其 垃圾 回收 计时 器 也 超时 ， 该 路 由 才 会 被 彻底 删除 。 

C. 一 条 RIP 路 由 如 果 老 化 计时 器 超时 ， 但 垃圾 回收 计时 器 没有 超时 ， 那 么 路 由 需 依 
然 按照 原 有 度量 值 正 常 地 回 其 他 直 连 RIP 路 由 器 通告 该 路 由 ， 直 到 路 由 的 垃圾 回 
收 计时 器 也 超时 。 

D. 路 由 器 学 习 到 一 条 RIP 路 由 并 将 该 路 由 加 载 路 由 表 的 同时 ， 会 为 其 局 动 老 化 
计时 器 ， 当 下 一 个 更 新 周期 到 来 时 ， 该 路 由 器 将 再 次 收 到 路 由 更 新 源 的 
Response 报 文 ， 如 果 在 该 报 文 中 再 次 看 到 这 条 路 由 ， 此 时 路 由 器 将 刷新 路 由 
的 老化 计时 器 。 

3. 在 图 2-39 中 ，R2 已 经 完成 了 RIPv2 配置 并 在 其 GE0/0/0 接口 上 激活 了 RIPv2， 
如 果 R1 采用 如 下 配置 : 

[Rljrip 1 

[Rl1-rip-l]version 2 

[Rl=rip-1]Jnetwork 172.16.0.0 


那么 ，R2 的 路 由 表 中 ， 存 在 多 少 条 RIP 路 由 ， 它 们 分 别 是 什么 ? 


GEO/0/1 RI1 GEO/0/O GE0/0/0 RR2 
172.16.0.5/30 172.16.0.1/30 172.16.0.2/30 







GE2/0/1: 172.16.1.1/24 
GE2/0/2: 172.16.2.1/24 
GE2/0/3: 172.16.3.1/24 


图 2-39 判断 R2 的 路 由 表 中 加 载 的 RIP 路 由 


4. 在 图 2-40 中 ，R1、R2 及 R4 已 经 完成 了 RIPv2 配置 (R1、R2 在 其 所 有 直 连 接 
口上 都 激活 了 RIPv2)， 如 果 R3 采用 如 下 配置 : 


[R3]rip 1 
[R3-rip-1]version 2 
[R3-rip-l jnetwork 10.0.0.0 
[R3-rip-1 lquit 


[R3Jinterface GigabitEthernet 0/0/0 
[R3-GigabitEthernet0/0/0]rip summary-address 10.0.0.0 255.255.248.0 


那么 ，R4 的 路 由 表 中 ， 存 在 多 少 条 RIP 路 由 ， 它 们 分 别 是 什么 ? 


Ri 







10.0.1.0/24 
10.0.2.0/24 
10.0.3.0/24 


GEO/0/0 
10.0.7.1/30 
GEO/0/1 


10.0.7.2/30 ”GEO/O/0 GE0/0/0 
10.0.0.1/30 10.0.0.2/30 









GEO/0/2 


10.0.4.0/24 10.0.8.2/30 


10.0.3.0/24 
10.0.6.0/24 


GE0/0/0 
10.0.8.1/30 


图 2-40 判断 R4 的 路 由 表 中 加 载 的 RIP 路 由 
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5. 在 图 2-41 中 ，R1 及 R3 已 经 完成 RIPV2 的 配置 ， 两 者 都 在 各 自 直 连接 口上 激活 


了 RIPV2。R2 的 RIPv2 配置 如 下 : 
[R2]rip 1 
[R2-rip-1]version 2 
[R2-rip-1]network 192.168.12.0 
[R2-np-1jquit 
[R2]rip 2 
[R2-rip-2]version 2 
[R2-rip-2]network 192.168.23.0 





192.168.12.0/24 192.168.23.0/24 


R1 


192.168.1.0/24 192.168.3.0/24 
图 2-41 RIP 多 进程 


R1 能 否 通过 RIP 学 习 到 192.168.23.0/24 路 由 ? R3 能 否 通过 RIP 学 习 到 192.168.12. 
0/24 路 由 ? 
为 什么 ? 
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3.1 OSPF 的 基本 概念 


回顾 一 下 距离 矢量 路 由 协议 的 工作 原理 : 运行 距离 矢量 路 由 协议 的 路 由 器 周期 性 地 
泛 洪 自己 的 路 由 表 ， 每 台 路 由 器 都 从 相 邻 的 路 由 器 学 习 到 路 由 ， 并 且 将 路 由 加 载 进 目 己 
的 路 由 表 中 ， 而 它们 并 不 清楚 网 络 的 拓扑 结构 ， 只 是 简单 地 知道 到 达 东 个 目标 网 段 应 该 
从 哪里 走 、 距 离 有 多 远 。 

与 距离 矢量 路 由 协议 不 同 ， 运 行 链 路 状态 路 由 协议 的 路 由 器 知晓 整个 网 络 的 拓扑 结 
构 ， 这 使 得 路 由 更 不 易 发 生 环 路 。 运 行 链 路 状态 路 由 协议 的 路 由 器 之 间 首 先 会 建立 邻 导 
关系 ， 之 后 开始 交互 链 路 状态 (Link-State，LS) 信息 ， 而 不 是 直接 交互 路 由 。 您 可 以 简 
略 地 将 链 路 状态 信息 理解 为 每 台 路 由 器 都 会 产生 的 、 摘 述 自 己 直 连 接口 状况 (包括 接口 
的 开销 、 与 邻居 路 由 器 之 间 的 关系 或 网 段 信 息 等 ) 的 通告 ， 更 通俗 点 的 讲法 是 ， 每 台 路 
由 器 都 产生 一 个 描述 自己 家 门口 情况 的 通告 。 这 些 通告 会 被 泛 洪 到 整个 网 络 ， 从 而 保证 
网 络 中 的 每 台 路 由 器 都 拥有 对 该 网 络 的 一 致 认 知 。 路 由 器 将 这 些 链 路 状态 信息 存储 在 
LSDB (Link-State Database， 链 路 状态 数据 库 ) 之 中 ，LSDB 内 的 数据 有 助 于 路 由 器 还 原 
全 网 的 拓扑 结构 (如 图 3-1 所 示 )。 接 下 来 ,每 台 路 由 器 都 基于 LSDB 使 用 相同 算法 进行 
计算 ， 计 算 的 结果 是 得 到 一 棵 以 自己 为 根 的 、 无 环 的 最 短路 径 “ 树 ”。 有 了 这 棵 “ 树 ” 
事实 上 路 由 需 就 已 经 知道 了 到 达 网 络 各 个 角 沙 的 最 优 路 径 。 最 后 ， 路 由 噩 将 计算 出 来 的 
最 优 路 径 〈 路 由 ) 加 载 到 目 己 的 路 由 表 。 





图 3-1 每 台 路 由 器 都 拥有 相同 的 LSDB 


OSPF (Open Shortest Path First， 开 放 式 最 短路 径 优先 ) 是 一 种 典型 的 链 路 状态 路 由 
协议 ， 由 IETF (Internet Engineering Task Force， 国 际 互 联网 工程 任务 组 ) 的 OSPF 工作 
小 组 开发 ， 是 目前 业内 使 用 最 为 广泛 的 IGP (Interior Gateway Protocol， 内 部 网 关 协 议 ) 
之 一 。OSPF 中 的 “0O” 意 为 “Open”， 即 开放 的 意思 ， 所 有 的 厂商 都 可 以 在 其 设备 上 实 
现 OSPF， 当 然 ， 这些 OSPF 实现 都 需 遵 循 公有 标准 。OSPF 文 持 VLSM (Variable-length 
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subnet， 可 变 长 子 网 掩 人 码 )， 文 持 路 由 汇 电 等 ， 男 外 区 域 (Area) 的 概念 引入 使 得 OSPF 
能 够 支持 更 大 规模 的 网 络 。 当 网 络 拓扑 发 生变 更 的 时 候 ，OSPF 可 以 快速 地 感知 并 进行 
路 由 的 计算 和 重新 收敛 。 目 前 OSPF 主要 有 两 个 版 本 ， 一 是 OSPFV2， 该 版 本 主要 针对 
IPv4， 在 RFC2328 (OSPF Version 2) 中 描述 ， 另 一 个 是 OSPFv3， 该 版 本 主要 针对 了 Pv6， 
在 RFC2740 (OSPF for IPv6) 中 描述 。 本 书 仅 探 讨 OSPFV2， 除 非特 别 说 明 ， 否 则 OSPF 
指 的 是 OSPFv2。 

学 习 完 本 节 之 后 ， 我 们 应 该 能 够 : 

e 理解 OSPF Router-ID 的 概念 ; 

。 学 会 查看 OSPF 的 三 张 表 ; 

e 理解 OSPF 路 由 Cost 的 概念 及 作用 ; 

e 熟 悉 OSPF 的 五 种 报 文 及 其 功能 ; 

。 理解 OSPF 网 络 类 型 的 概念 及 意义 ; 

。 理解 OSPF DR、BDR 的 概念 及 意义 ; 

。 理解 OSPF 区 域 的 概念 ， 以 及 区 域 划 分 的 意义 ， 并 熟悉 多 区 域 OSPF 部 蜀 的 注意 
事项 ; 

e。 就 悉 各 种 OSPF 路 由 器 角色 。 


3.1.1 Router-ID 


OSPF Router-ID (Router Identification， 路 由 需 标 识 ) 是 一 个 32bit 长 度 的 数值 ， 通 
常 使 用 点 分 十 进 制 的 形式 表现 (与 IPv4 地 址 的 格式 一 样 ， 例 如 192.168.200.1)， 用 于 在 
OSPF 域 (Domain) 中 唯一 地 标识 一 台 OSPF 路 由 器 。 我 们 把 一 系列 连续 的 OSPF 路 由 
器 组 成 的 网 络 称 为 OSPF 域 ， 这 些 路 由 器 采用 相同 的 OSPF 策略 。OSPF 要 求 路 由 器 的 
Router-ID 必须 全 域 唯 一 ， 即 在 同一 个 域内 不 允许 出 现 两 侣 OSPF 路 由 规 拥 有 相同 的 
Router-ID 的 情况 。 

Router-ID 可 以 使 用 手工 配置 的 方式 进行 设 定 。 如 果 在 创建 OSPF 进程 时 没有 手工 指 
定 Router-ID， 则 系统 会 目 动 选择 设备 上 的 一 个 耳 地 址 作为 Router-ID。 在 华为 的 路 由 器 
上 如 果 创 建 OSPF 进程 时 没有 手工 指定 Router-ID， 则 路 由 器 将 为 该 进程 分 配 一 个 缺 省 
Router-ID 。 当 然 在 实际 网 络 部 着 中 ， 蝇 烈 建议 大 家 手工 配置 OSPF 的 Router-ID， 因 为 这 
关系 到 协议 的 稳定 性 。 一 个 常见 的 做 法 是 ， 将 设备 的 OSPF Router-ID 指定 为 该 设备 的 
Loopback 接口 (本 地 环 回 接 口 ) 的 他 地址。 手工 指定 OSPF Router-ID 的 示例 如 下 : 

# 为 设备 创建 一 个 Loopback 接口 ， 并 指定 接口 的 下 地 址 ; 

[Routerjinterface loopback 0 


[Router-LoopBack0lip address 1.1.1.1 32 
[Router-LoopBack0]quit 


# 创 建 一 个 OSPF 进程 ， 并 指定 该 设备 的 Router-ID 为 1.1.1.1 (Loopback0 接口 的 地 址 ): 
[Router]ospf 1 router-id 1.1.1.1 





A 
wf 


TYLoopback 接口 也 即 本 地 环 回 接口 ， 是 一 种 软件 的 、 逻 辑 的 接口 ， 实 际 上 不 光 是 网 
络 设备 支持 Loopback 接口 ， 很 多 主机 (例如 Windows 或 Linux 主机 ) 也 同样 支持 。 用 
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户 可 以 根据 业务 需求 ， 在 网 络 设 备 上 创建 Loopback 接口 ， 并 为 该 接口 配置 IP 地 址 。 
Loopback 接口 非常 稳定 ， 除非 人 为 地 进行 关闭 或 删除 ， 否则 是 永远 不 会 失效 的 。 正 因 如 
此 ，Loopback 接口 通常 用 于 设备 网 管 、 网 络 测试 、 网 络 协议 应 用 等 。 


以 上 配置 中 ， 在 系统 视图 下 执行 的 ospf 1 router-id 1.1.1.1 命令 用 于 创建 一 个 OSPF 
进程 ， 该 进程 的 Process-ID 为 1 (Process-ID 即 进 程 标 识 ， 用 于 在 一 台 设 备 上 标识 一 个 
OSPF 进程 )， 并 且 路 由 需 在 该 OSPF 进程 中 所 使 用 的 Router-ID 为 1.1.1.1。 无 论 是 采用 
手工 配置 还 是 自动 选取 的 方式 ,一旦 OSPF 确定 了 Router-ID， 之 后 如 果 再 变更 的 话 就 需 
要 将 OSPF 进程 重启 才能 使 新 的 Router-ID 生效 ， 用 于 重启 OSPF 进程 的 命令 是 : 

<Router>reset ospf process 

当然 在 实际 的 项 目 中 这 条 命令 需 谨慎 使 用 ， 因 为 一 旦 这 条 命令 被 执行 ，OSPF 的 进 
程 便 会 重启， 该 OSPF 进程 的 所 有 邻接 关系 将 会 被 重 置 ， 这 会 引发 路 由 的 动荡 。 


3.1.2 ”OSPF 的 三 张 表 


OSPF 使 用 三 张 表格 以 确保 其 正常 运行 。 

1. 邻居 表 (Peer Table 或 Neighbor Table ) 

在 OSPF 交互 链 路 状态 通告 之 前 ， 两 台 直 连 路 由 器 需 建立 OSPF 邻居 关系 。 当 一 个 
接口 激活 OSPF 后 ， 该 接口 将 周期 性 地 发 送 OSPF Hello 报 文 ， 同 时 也 开始 侦 听 Hello 报 
文 从 而 发 现 直 连 链 路 上 的 邻居 。 当 OSPF 在 接口 上 发 现 邻 届 后 ， 仓 届 的 信息 束 会 被 写 入 
路 由 堆 的 OSPF 邻居 表 ， 随 后 一 个 邻接 关系 的 建立 过 程 也 就 开始 了 。 

在 图 3-2 所 示 的 网 络 中 ，R1、R2 及 R3 都 运行 了 OSPF。 以 R2 为 例 ， 它 将 在 自己 的 
GE0/0/0 及 Serial1/0/0 接口 上 分 别 发 现 R1 及 R3， 并 最 终 与 这 两 者 都 建立 OSPF 邻接 关系 ， 
来 看 一 下 R2 的 邻居 表 : 

[R2]display ospf peer 

OSPF Process 1 with Router ID 2.2.2.2 
Nelghbors 

Area 0.0.0.0 interface 10.1.12.2(GigabitEthernet0/0/0)'s neighbors 
Router ID; 1.1.1.1 Address; 10.1.12.1 

State: Full Mode:Nbris Slave Priority: 1 

DR: 10.1.12.2 BDR: 10.1.12.1 MTU:0 

Dead timer due im 39 sec 

Retrans timer interval: $ 


Neighbor is up for 00:01:39 
Authentication Sequenice: [ 0 ] 


Neighbors 

Area 0.0.0.0 interface 10.1.23.2(Seriall/0/0)'s neighbors 
Router ID: 3.3.3.3 Address: 10.1.23.3 

State: Full Mode:Nbris Master Priority: 1 

DR: None BDR: None MTU:0 

Dead timer due in 335 seQ 

Retrans timer interval: 0 

Neighbor is up for 00:01:05 

Authentication Sequence: [ 0] 


使 用 display ospf peer 命令 可 查看 设备 的 OSPF 邻居 表 。 从 上 面 的 输出 可 以 看 出 ， 
R2 已 经 与 R1 和 R3 建立 了 全 毗邻 的 邻接 关系 , 这 点 可 以 通过 查看 两 个 邻居 的 状态 (State 
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部 为 Full) 来 确认 。 掌 握 邻 居 表 的 碍 看 是 使 用 OSPF 的 基本 技能 之 一 ， 也 是 OSPF 维护 
及 故障 定位 的 重要 手段 。 实 际 上 ， 每 台 OSPF 路 由 器 都 与 其 邻居 建立 会 话 ， 每 个 会 话 都 
使 用 一 个 “邻居 数据 结构 ”来 描述 ， 这 些 数据 结构 是 与 路 由 器 的 接口 相关 联 的 ， 它 们 描 
述 了 这 个 邻居 的 状态 、 主 /从 (Master/Slave) 关系 、Router-ID、DR 优先 级 〈 若 有 )、 接 
口 IP 地 址 等 信息 ，OSPF 邻居 表 则 汇总 了 这 些 信 息 ， 统 一 将 路 由 器 所 有 邻居 的 相关 数据 


GEO/0/0 
10.1.12.1/24 


GEO/0/1 
10.1.13.1/24 











GE0O/0/0 
10.1.12.2/24 


Serial1/0/0 
10.1.23.2/24 


GEO/O/1 
10.1.13.3/24 


Serial 1/0/0 
10.1.23.3/24 


R3 
图 3-2 一 个 简单 的 OSPF 网 络 


2， 链 路 状态 数据 库 ( Link-State Database，LSDB ) 

我 们 已 经 知道 ， 运 行 链 路 状态 路 由 协议 的 路 由 器 在 网 络 中 泛 洪 链 路 状态 信息 ， 在 
OSPF 中 ， 这 些 信息 被 称 为 LSA (Link-State Advertisement， 链 路 状态 通告 )， 路 由 器 将 
网 络 中 的 LSA 搜集 后 装载 到 自己 的 LSDB 中 ,因此 LSDB 可 以 当 作 是 路 由 器 对 网 络 的 完 
整 认 知 。OSPF 定义 了 多 种 类 型 的 LSA， 这 些 LSA 都 有 各 自 的 用 途 ， 当 然 最 终 的 目的 都 
是 为 了 让 路 由 器 知晓 网 络 的 拓扑 结构 及 网 段 信 息 并 计算 出 最 短路 径 树 ， 从 而 发 现 到 达 全 
网 各 个 网 段 的 路 由 。 理解 LSDB 中 各 种 LSA 是 深入 学 习 OSPF 的 必 经 之 路 。 下 面 展示 的 
是 图 3-2 中 R2 的 LSDB (使 用 display ospf lsdb 命令 可 以 查看 设备 的 LSDB)。 实 际 上 由 
于 R1、R2 及 R3 的 所 有 接口 都 属于 同一 个 OSPF 区 域 , 因此 三 台 路 由 器 的 LSDB 都 是 一 





致 的 。 
[R2]display ospf lsdb 
OSPF Process 1 with Router ID 2.2.2.2 
Link State Database 
Area: 0.0.0.0 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 3 S222 281 60 8000000C 1 
Ronuter 1.1.1.1 1 236 48 80000009 1 
Router 蒜 娄 娄 ， 3 245 60 8000000B 48 
Network ”10.1.13.1 1.4.1 236 32 80000002 0 
Network 10.1.12.2 p yd 4 313 32 80000002 0 


关于 LSDB 及 LSA 的 深入 探讨 将 在 后 续 的 章节 中 展开 。 

3. OSPF 路 由 表 (Routing Table ) 

使 用 display ospf routing 命令 可 以 三 看 设备 的 OSPF 路 由 表 , 也 束 是 设备 通过 OSPF 
所 发 现 的 路 由 ， 以 R2 为 例 : 

<R2>display ospf routing 


OSPF Process 1 with Router ID 2.2.2.2 
Routing Tables 
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Routing for Network 

Destination Cost Type NextHop AdvRouter Area 
10.1.12.0/24 1 Transit 10.1.12.2 2 0.0.0.0 
10.1.23.0/24 48 Stub 10.1.23.2 .22 0.0.0.0 
10.1.13.0/24 2 Transit 10.1.12.1 3 0.0.0.0 
Total Nets: 3 


Intra Area: 3 Inter Area:0 ASE:0 NSSA:O 

OSPF 根据 LSDB 中 的 数据 ， 运 行 SPF 算法 并 且 得 到 一 棵 以 自己 为 根 的 、 无 环 的 最 
短路 人 径 树 ， 基 于 这 棵 树 ，OSPF 能 够 发 现 到 达 网 络 中 各 个 网 段 的 最 佳 路 径 ， 从 而 得 到 路 
由 信息 并 将 其 加 载 到 OSPF 路 由 表 中 。 当 然 ， 这 些 OSPF 路 由 表 中 的 路 由 最 终 是 否 会 被 
加 载 到 全 局 路 由 表 ， 还 要 经 过 进一步 比较 路 由 优先 级 等 过 程 。 


3.1.3 ”度量 值 


每 种 路 由 协议 对 路 由 度量 值 的 规定 是 不 同 的 ，OSPF 使 用 Cost (开销 〉 作 为 路 由 度 
量 值 ， 所 谓 开 销 ， 亦 可 理解 为 成 本 或 者 代价 ，Cost 值 越 小 ， 则 路 径 〈 路 由 ) 越 优 。 首 先 
每 一 个 激活 OSPF 的 接口 都 拥有 一 个 接口 级 别 的 Cost 值 ， 这 个 值 等 于 OSPF 带宽 参考 值 
/接口 市 宽 ， 取 计算 结果 的 整数 部 分 ， 当 结果 小 于 1 时 ， 值 取 1。 以 华为 AR 路 由 器 为 例 ， 
OSPF 市 宽 参 考 值 缺 省 为 100Mbits， 这 个 值 是 可 以 人 为 修改 的 ， 但 是 修改 参考 值 将 直接 
影响 Cost 值 的 计算 ， 从 而 影响 网 络 中 OSPF 路 由 的 优选 ， 因 此 需 格 外 谨慎。 

在 图 3-3 所 示 的 网 络 中 ，R1、R2 及 R3 在 各 目的 接口 上 都 激活 了 OSPF (所 有 的 接 
口 都 属于 相同 的 OSPF 区 域 , 关于 区 域 的 概念 将 在 后 续 的 章节 中 介绍 )。 图 中 已 经 标 出 了 
每 个 接口 的 Cost 值 。 每 台 路 由 器 产生 的 LSA 描述 了 自己 直 连 接口 的 状况 ， 其 中 就 包括 
接口 的 Cost。 这些 LSA 的 泛 洪 使 得 每 台 路 由 器 都 获知 了 网 络 中 所 有 路 由 器 的 信息 。 一 条 
OSPF 路 径 的 Cost 等 于 从 目的 地 到 本 地 路 由 器 沿途 的 所 有 入 接口 Cost 的 总 和 。 以 R2 为 
例 ， 它 到 达 目 标 网 段 10.1.13.0/24 有 两 条 路 径 可 选 ， 一 条 是 从 R1 到 达 ， 而 另 一 条 则 是 从 
R3 到 达 。R2 在 计算 到 达 10.1.13.0/24 的 路 由 时 就 要 做 一 个 比较 ， 优 选 Cost 值 更 小 的 那 
一 条 路 径 。R2 从 R1 这 条 路 径 到 达 目 标 网 段 的 话 ，Cost 等 于 R1 的 GE0/0/1 接口 的 Cost 
加 上 R2 的 GE0/0/0 接口 的 Cost， 也 就 是 2。 而 从 R3 到 达 目 的 网 段 的 Cost 则 等 于 R3 的 
GE0/0/1 接口 的 Cost 加 上 R2 的 Serial1/0/0 接口 的 Cost, 也 就 是 49。 很 明显 , 前 者 的 Cost 
要 更 小 ， 因 此 R2 经 过 计算 ， 将 R1 视 为 到 达 10.1.13.0/24 的 最 优 下 一 跳 ， 并 将 得 出 的 路 
由 加 载 到 路 由 表 中 。 


GEO/O/ 
Cost=] 


GEO/O/O 
Cost=] 









GEO/0/0 


R2 E227 10.1.13.0/24 
Serial1/0/0 
Cost=48 
GEO/0/] 
R3 Cost=] 


图 3-3 ”OSPF 路 由 Cost 的 计算 


Serial1/0/0 | 
Cost=48 
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值得 一 提 的 是 ，OSPF 的 接口 Cost 是 可 以 手工 调整 的 ， 在 这 个 例子 中 ， 可 以 通过 将 
R2 的 GE0/0/0 接口 的 Cost 值 调 大 (至 少 要 大 于 48)， 从 而 让 R2 选择 从 R3 到 达 10.1.13. 
0/24。 通过 调节 接口 Cost 从 而 影响 OSPF 路 由 计算 , 这 种 方法 在 实际 的 工程 中 津 被 用 到 。 


3.1.4 ” 报 文 类 型 及 格式 


OSPF 协议 基于 IP 运行 ， 协 议 的 数据 报 文 直接 采用 IP 封装 ， 在 中 报 文 头 部 中 对 应 
的 协议 与 为 89。 多 数 情 况 下 ，OSPF 的 协议 报 文 使 用 组 播 地 址 作为 目的 IP 地址 ， 以 下 两 
个 组 播 耻 地 址 被 保留 专用 于 OSPF。 

e。 224.0.0.5: 该 组 播 IP 地 址 意 指 所 有 的 OSPF 路 由 器 。 

e。 224.0.0.6: 该 组 播 IP 地 址 意 指 所 有 的 OSPF DR 路 由 器 。 

OSPF 一 共 定 义 了 五 种 报 文 ， 各 有 各 的 用 途 。 表 3-1 罗列 了 这 五 种 报 文 ， 以 及 报 文 的 


\ 


描述 。 | 
表 3-1 OSPF 报 文 类 型 及 描述 
类 型 报 文 名 称 ” ， 报 文 描述 
| lis 用 于 发 现 直 连 链 路 上 的 OSPF 邻居 ， 以 及 维护 
OSPF 邻居 关系 


用 于 描述 LSDB， 该 报 文中 携 融 的 是 LSDB 中 
2 DD (Database Description， 数 据 库 描 述 ) | LSA 的 头 部 数据 〈 也 就 是 并 非 完 整 的 LSA 内 
容 ， 仅 仅 是 头 部 数据 ) 


3 LSR (Link State Request， 链 路 状态 请 求 ) | 用 于 向 OSPF 邻居 请 求 LSA 


py 用 于 发 送 LSA, 该 报 文中 携带 的 是 完整 的 LSA 
4 | LSU (Link State Update， 链 路 状态 更 浙 ) | 数据 。 LSA 是 承载 在 LSU 中 进行 泛 洪 的 
< LSAck (Link State Acknowledgment， 链 路 | 设备 收 到 LSU 后 ，LSAck 用 于 对 接收 的 LSA 
状态 确认 ) 进行 确认 


路 由 器 的 接口 一 旦 激活 OSPF， 就 会 开始 发 送 Hello 报 文 。Hello 报 文 的 一 个 重要 功 
能 就 是 发 现 直 连 链 路 上 的 OSPF 邻居 。 当 其 发 现 邻居 后 ， 邻 接 关 系 的 建立 过 程 就 开始 了 。 
在 这 个 过 程 中 ，DD 报 文 用 于 发 送 LSA 的 头 部 摘要 。 通 过 DD 报 文 的 交互 ， 路 由 需 知 道 
了 对 方 所 拥有 的 LSA， 而 LSR 用 于 加 对 方 请 求 完 整 的 LSA。LSU 则 用 于 对 LSR 进行 回 
应 ， 或 者 主动 更 新 LSA， 在 LSU 中 就 承载 看 完整 的 LSA 数据 。LSAck 用 于 保证 OSPF 
更 新 机 制 的 可 靠 性 。 此 外 Hello 报 文 还 负责 OSPF 邻居 关系 的 维护 ， 两 台 直 连 路 由 需 形 
成 邻接 关系 后 ， 双 方 依然 周期 性 地 发 送 Hello 报 文 ， 以 便 告 知 对 方 自己 的 存活 情况 。 

所 有 的 OSPF 报 文 都 有 统一 的 头 部 ， 这 个 头 部 的 长 度 为 24byte， 如 图 3-4 所 示 。 


图 3-4 ”OSPF 报 文 头 部 
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e 版 本 《Version): 对 于 OSPFv2， 访 字段 值 恒 为 2。 

。 类 型 (Type): 该 OSPF 报 文 的 类 型 。 该 字段 的 值 与 报 文 类 型 的 对 应 天 系 是 : 1-Hello; 
2-DD; 3-LSR; 4-LSU; 5S$-LSAck。 

e 报 文 长 度 (Packet Length): 整个 OSPF 报 文 的 长 度 〈 字 节 数 )。 

。 路 由 器 ID (Router Identification): 路 由 器 的 OSPF Router-ID。 

。 区 域 ID (Area Identification): 该 报 文 所 属 的 区 域 ID， 这 是 一 个 32bit 的 数值 。 

。 校 验 和 〈Checksum)7: 用 于 校 验 报 文 有 效 性 的 字段 。 

e 认证 类 型 (Authentication Type): 指示 该 报 文 使 用 的 认证 类 型 。 

e。 认证 数据 (Authentication Data): 用 于 报 文 认证 的 内 容 。 

1. Hello 报 文 

Hello 报 文 用 于 发 现下 连 链 路 上 的 邻居 ， 以 及 维护 邻 大 关系 。Hello 报 文 中 携 市 看 用 
于 OSPF 邻居 关系 建立 的 各 项 参数 ， 在 邻居 关系 的 建立 过 程 中 ， 这 些 参 数 会 被 检查 ， 只 
有 参数 匹配 ， 两 者 才能 正确 地 建立 邻居 关系 。 图 3-5 展示 了 Hello 报 文 的 格式 。 


pe 报 文 长 度 Cl6bit) 
路 由 器 ID (32bit) 
I 区域 ID 《32bit》 


校 验 和 (16bit) ”认证 类 型 (16bit) 


认证 数据 (32bit) 
认证 数据 (32bit) 


网 络 掩 码 (32bit) 


re 


邻居 (32bit) 
图 3-5 Hello 报 文 格式 





e 网 络 撞 码 (Network Mask): 一 旦 路 由 需 的 某 个 接口 激活 了 OSPF， 该 接口 即 开 
始 发 送 Hello 报 文 ， 该 字段 填充 的 是 该 接口 的 网 络 拖 码 。 两 台 OSPF 路 由 器 如 果 通 过 以 
太 网 接口 直 连 ， 那 么 双方 的 直 连 接口 必须 配置 相同 的 网 络 掩 码 ， 如 果 一 方 在 接口 上 收 到 
的 Hello 报 文 中 “网 络 掩 码 ” 学 段 与 本 地 接口 不 同 ， 则 忽略 该 Hello 报 文 ， 此 时 邻 届 关 系 
无 法 正确 建立 。 

e Hello 间隔 (Hello Interval): 接口 周期 性 友 送 Hello 报 文 的 时 间 间 隔 〈 单 位 为 $)。 
两 台 直 连 路 由 器 要 建立 OSPF 邻居 关系 ， 需 确保 接口 的 Hello Interval 相同 ， 否 则 邻居 天 
系 无 法 正 间 建立。 缺 省 情况 下 ，OSPF 路 由 需 在 P2P 或 Broadcast 类 型 的 接口 上 的 Hello 
间隔 为 108， 在 NBMA 及 P2MP 类 型 的 接口 上 的 Hello 间隔 为 30s。 
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“TYP2P、Broadcast、NBMA 及 P2MP 为 OSPF 定义 的 网 络 类 型 ， 本 章 将 在 “网 络 类 
型 ”一 节 中 介绍 相关 概念 。 


。 本 选项 (Options); 该 字段 一 共 8bit， 每 个 比特 位 都 用 于 指示 该 路 由 器 的 某 个 特 
定 的 OSPF 特性 。 路 由 器 通过 设置 相应 的 Options 比特 位 来 通告 自己 支持 某 种 特性 或 者 
拥有 某 种 能 力 。OSPF 邻接 关系 建立 过 程 中 ，Options 字段 中 的 某 些 比特 位 会 被 检查 ， 这 
有 可 能 会 直接 影响 到 OSPF 邻接 关系 的 建立 。 

。 路 由 器 优先 级 (Router Priority): 路 由 需 优 先 级 ， 也 叫 DR 优先 级 ， 该 字段 用 于 
DR、BDR 的 选举 。 在 华为 的 数 通 产 品 上 ， 缺 省 时 OSPF 接口 的 DR 优先 级 为 1， 这 个 值 
是 可 以 通过 命令 修改 的 。OSPF 在 多 路 访问 网 络 中 会 进行 DR〈Designated Router， 指 定 
路 由 器 ) 和 BDR (Backup Designated Router， 备 用 指定 路 由 器 ) 选举 ， 而 该 字段 的 值 将 
对 选举 结果 产生 影响 。 

e 路 由 器 失效 时 间 (Router Dead Interval): 在 邻居 路 由 器 被 视 为 无 效 前 ， 需 等 待 
收 到 对 方 Hello 报 文 的 时 间 (单位 为 s)。 两 台 直 连 路 由 器 要 建立 OSPF 邻居 关系 ， 需 确 
保 双 方 直 连 接口 的 Router Dead Interval 相同 , 否则 邻居 关系 无 法 正常 建立 。 缺 省 情况 下 ， 
OSPF 路 由 需 接 口 的 Router Dead Interval 为 该 接口 的 Hello Interval 的 4 倍 。 

。 指定 路 由 器 (Designated Router): 网 络 中 DR 的 接口 下 地 址 。 如 果 该 字段 值 为 
0.0.0.0， 则 表示 没有 DR， 或 者 DR 尚未 选举 出 来 。 

。 备份 指定 路 由 器 (Backup Designated Router): 网 络 中 BDR 的 接口 IP 地 址 。 如 
果 该 字段 值 为 0.0.0.0， 则 表示 网 络 中 没有 BDR， 或 者 BDR 尚未 选举 出 来 。 

e 邻居 (Neighbor): 在 直 连 链 路 上 发 现 的 有 效 邻 大 ， 此 处 填充 的 是 邻 大 的 Router-ID， 
如 果 发 现 了 多 个 邻居 ， 则 包含 多 个 邻居 字段 。 

2. DD 报 文 

DD 报 文 用 于 摘 述 LSDB， 该 报 文中 携 融 的 是 LSDB 中 LSA 的 头 部 数据 (也 就 是 并 
非 完整 的 LSA 内 容 ， 仅 仅 是 头 部 数据 )。 在 OSPF 路 由 器 邻接 关系 的 建立 过 程 中 ， 互 为 
邻居 的 路 由 器 之 间 会 交互 DD 报 文 。 在 两 台 路 由 器 开始 使 用 DD 报 文 描述 上 自己 的 LSDB 
之 前 ， 双 方 需要 协商 主 / 从 (Master/Slave )。Master/Slave 的 协商 也 是 通过 交互 DD 报 文 
来 完成 的 (Router-ID 更 大 的 路 由 器 成 为 Master 路 由 器 )， 但 是 这 种 DD 报 文中 并 不 包含 
任何 LSA 的 头 部 信息 ， 可 以 理解 为 空 的 DD 报 文 。 

Master/Slave 确定 后 ， 双 方 就 开始 使 用 DD 报 文 摘 述 各 目的 LSDB， 在 这 种 DD 报 文 
中 包含 着 LSDB 里 的 LSA 的 头 部 。 路 由 器 可 以 使 用 多 个 DD 报 文 来 描述 LSDB， 为 了 确 
保 DD 报 文 传输 的 有 序 和 可 徘 ,“DD 厅 列 号 (DD Sequence Number)” 了 字段 束 是 关键 。 
在 OSPF 路 由 器 双方 交互 DD 报 文 的 过 程 中 ，Master 路 由 器 发 送 DD 报 文 给 对 端 ， 对 端 
的 Slave 路 由 器 在 发 送 目 己 的 DD 报 文 时 需 在 该 报 文 的 “DD 序列 号 ”字段 中 使 用 前 者 的 
序列 号 ， 也 就 是 Master 路 由 器 主导 整个 LSDB 描述 过 程 。 假 设 Master 路 由 器 发 送 一 个 
DD 序列 号 为 1111 的 DD 报 文 ， 则 Slave 路 由 占 在 收 到 这 个 DD 报 文 后 开始 发 送 目 己 的 
DD 报 文 ， 而 且 DD 序列 号 使 用 1111， 而 它 在 准备 再 次 发 送 DD 报 文 之 前 ， 必 须 先 收 到 
Master 路 由 器 发 送 的 下 一 个 DD 报 文 (DD 序列 号 为 1112)。 这 个 过 程 会 一 直 持 续 ， 直 到 
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LSDB 描述 完 。 图 3-6 展示 了 DD 报 文 的 格式 。 


mw | wn ein Tofolofolol The 


DD 序列 号 (32bit) 


LSA 的 头 部 


图 3-6 DD 报 文 格式 





。 接口 最 大 传输 单元 (Interface Maximum Transmission Unit): 接口 的 MTU。 以 
华为 AR2200 路 由 需 为 例 ， 缺 省 时 接口 发 送 的 DD 报 文 中 ， 无论 该 接口 实际 的 MTU 值 
是 多 少 ， 该 字段 的 值 都 为 0。 

e 可 选项 Options): 路 由 右 文 持 的 OSPF 可 选项 。 

es 工 位 (Initial Bit): 也 即 初始 化 位 , 当 该 DD 报 文 用 于 协商 Master/Slave 路 由 器 时 ， 
该 比特 位 被 置 1，MasterSlave 选举 完成 后 ， 该 比特 位 被 置 0。 

。M 位 (More Bit): 该 比特 位 如 果 设 置 为 1， 则 表示 后 续 还 有 更 多 的 DD 报 文 ; 如 
果 被 设置 为 0， 则 表示 这 是 最 后 一 个 DD 报 文 。 

。 MS 位 (Master Bit): Master 路 由 器 在 自己 发 送 的 DD 报 文中 将 该 比特 位 设置 为 
1，Slave 跤 由 右 则 将 其 设置 为 0。 

。 DD 序列 号 (DD Sequence Number): DD 报 文 的 序列 号 , 在 DD 报 文 交 互 的 过 程 
中 ，DD 订 列 号 被 逐次 加 1， 用 于 确保 DD 报 文 传输 的 有 序 和 可 靠 性 。 值 得 注意 的 是 ， 
DD 序列 号 必须 是 由 Master 路 由 喜来 决定 的 ， 而 Slave 路 由 器 只 能 使 用 Master 路 由 器 发 
送 的 DD 序列 号 来 发 送 目 己 的 DD 报 文 。 

。 LSA 头 部 (LSA Header): 当 路 由 器 使 用 DD 报 文 来 描述 自己 的 LSDB 时 ，LSA 
的 头 部 信息 被 包含 在 此 处 。 一 个 DD 报 文 可 能 包含 一 条 或 多 条 LSA 的 头 部 。 

3. LSR 报 文 

在 与 OSPF 邻居 区 换 DD 报 文 之 后 ， 路 由 器 就 知晓 了 邻居 的 LSDB 摘要 ， 它 将 向 邻 
大 发 送 LSR 报 文 来 请 求 所 需 的 LSA 的 完整 数据 ,LSR 报 文中 的 链 路 状态 类 型 (Link-State 
Type)、 链 路 状态 ID 〈Link-State ID ) 及 通告 路 由 器 (Advertising Router) 三 个 元 素 标识 
了 路 由 器 请 求 的 LSA。 如 果 需 请 求 多 个 LSA， 则 LSR 可 能 包含 多 个 上 述 三 元 组 。 图 3-7 
展示 了 LSR 报 文 的 格式 。 
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| -区 域 ID (32bit) | 
认证 数据 (32bit) \ 
| eh ee i 


图 3-7 LSR 报 文 格式 


。 链 路 状态 类 型 (Link-State Type): 指示 本 条 LSA 的 类 型 。 OSPF 定义 了 多 种 类 型 
的 LSA,， 每 种 LSA 用 于 搞 述 OSPF 网 络 的 茶 个 部 分 ， 而 且 使 用 不 同 的 类 型 编号 。 第 见 的 
LSA 类 型 值 及 LSA 的 名 称 如 : 1-RouterLSA, 2-Network LSA,，3-Network Summary LSA， 
4-ASBR Summary LSA，5-AS External LSA。 本 章 将 在 “LSA 详解 ”一 节 中 详细 介绍 这 
儿 种 LSA。 

。 链 路 状态 标识 《Link-State ID): LSA 的 标识 。 不 同 的 LSA 类 型 ， 对 该 字段 的 定 

。 通告 路 由 器 (Advertising Router): 产生 该 LSA 的 路 由 器 的 Router-ID。 

4 LSU 报 交 

路 由 器 收 到 邻居 发 送 过 来 的 LSR 后 ， 会 以 LSU 报 文 进行 回应 ， 在 LSU 报 文中 就 包 
含 了 对 方 请 求 的 LSA 的 完整 信息 ， 一 个 LSU 报 文 可 以 包含 多 个 LSA。 另 外 ， 当 路 由 器 
感知 到 网 络 发 生变 化 时 ,也 可 以 触发 LSU 报 文 的 泛 洪 ， 以 便 将 该 变化 通知 给 网 络 中 的 其 
他 OSPF 路 由 器 。 在 多 路 访问 网 络 中 ， 非 DR、BDR 路 由 器 向 224.0.0.6 这 个 组 播 地 址 发 
送 LSU 报 文 ， 而 DR 及 BDR 会 侦 听 这 个 组 播 地 址 ，DR 在 接收 LSU 报 文 后 网 224.0.0.5 
发 送 LSU 报 文 ， 从 而 将 更 新 信息 泛 潜 到 整个 OSPF 区 域 ， 所 有 的 OSPF 路 由 器 都 会 侦 听 
224.0.0.5 这 个 组 播 地 址 。 图 3-8 展示 了 LSU 报 文 的 格式 。 


LSA 


图 3-8 LSU 报 文 格 式 
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5. LSAck 报 文 

为 了 确保 LSA 能 够 可 靠 送 达 ， 当 一 人 台 路 由 器 收 到 邻居 发 送 过 来 的 LSU 报 文 时 ， 需 
要 对 报 文中 包含 的 LSA 进行 确认 ， 这 个 确认 行为 可 以 是 回复 一 个 LSAck 报 文 。LSAck 
报 文中 包含 着 路 由 器 所 确认 的 LSA 的 头 部 (每 个 LSA 头 部 的 长 度 为 20byte)。 图 3-9 展 
示 了 LSAck 报 文 的 格式 。 


类 型 5 | 报 文 长 度 〈16bit) 机 
”路 由 器 ID (32bit) Te 刺 
el ep 


Cr 


认证 数据 (32bit) 
LSA 头 部 


图 3-9 LSAck 的 报 文 格 式 





3.1.5 ”邻接 关系 


关于 OSPF， 有 两 个 概念 需要 特别 说 明 : 邻居 关系 和 邻接 关系 。 考 虑 一 种 最 简单 的 
网 络 拓扑 : 两 台 路 由 器 通过 网 线 直 连 ， 在 双方 互联 的 接口 上 激活 OSPF， 路 由 器 的 接口 
激活 OSPF 后 开始 发 送 及 侦 听 Hello 报 文 ,在 通过 Hello 报 文 发 现 彼此 并 确认 双 加 通讯 后 ， 
这 两 者 便 形 成 了 邻居 关系 。 

但 这 只 是 一 个 开头 ， 一 系列 的 报 文 交 互 和 邻居 状态 的 切换 会 在 接 下 来 的 过 程 中 继续 
发 生 ， 两 台 路 由 器 会 开始 交互 空 的 DD 报 文 协商 MasterSlave， 再 交互 包含 LSA 头 部 的 
DD 报 文 以 便 描 述 自己 的 LSDB,， 然后 通过 LSR 及 LSU 报 文 交互 双方 的 LSA。 当 两 者 的 
LSDB 同步 完成 后 ， 两 台 路 由 器 形成 了 对 网 络 拓扑 的 一 致 认 知 ， 并 开始 独立 计算 路 由 。 
此 时 ， 我 们 称 这 两 台 路 由 需 形 成 了 邻接 关系 。 

深入 地 理解 OSPF 邻接 关系 的 建立 过 程 是 非常 有 必要 的 ， 在 实际 的 工程 中 大 家 经 第 
可 能 会 遇 到 各 种 类 型 的 OSPF 故障 , 其 中 OSPF 邻接 关系 无 法 正确 建立 便 其 中 之 一 ,OSPF 
定义 了 多 种 邻居 状态 以 及 到 达 某 个 状态 时 需要 满足 的 条 件 和 状态 切换 的 过 程 ， 一 般 来 
潮 ， 只 有 邻居 双方 的 状态 都 为 Full (全 毗邻 ) 时 ， 我 们 才 认 为 网 络 是 收敛 完毕 的 。 

1. OSPF 邻居 状态 

。 Down 〈 失 效 ) : OSPF 邻居 状态 切换 的 初始 状态 。 在 该 状态 下，OSPF 接口 尚未 
收 到 邻居 发 送 的 Hello 报 文 。 

。 Init (初始 ) : 当 QSPF 路 由 器 收 到 直 连 链 路 上 某 个 邻居 发 送 过 来 的 有 效 Hello 报 
文 ， 但 并 未 在 Hello 报 文 的 “邻居 ”字段 中 看 到 上 自己 的 Router-ID 时 ， 它 会 将 该 邻居 置 为 
Init 状态 。 这 个 状态 表明 ， 在 该 直 连 链 路 上 有 一 个 活跃 的 OSPF 路 由 器 ， 但 是 目前 两 者 
尚未 确认 双 问 通讯 。 接 下 来 ， 收 到 Hello 报 文 的 路 由 占 会 将 对 方 的 Router-ID 添加 到 目 己 
发 送 的 Hello 报 文中 ， 以 便 告知 对 方 :“ 我 已 经 发 现 你 了 ”。 


第 3 章 OSPF 99 


。 Attempt (尝试 ) : 该 状态 只 在 NBMA 类 型 的 接口 中 出 现 。 在 NBMA 网 络 中 ， 
OSPF 邻居 通常 是 采用 手工 的 方式 指定 的 , 此 时 OSPF 路 由 器 往往 通过 单 播 的 Hello 报 文 
与 直 连 设备 建立 邻居 关系 。 当 路 由 器 的 NBMA 接口 激活 后 , 邻居 的 状态 将 从 Down 过 渡 
到 Attempt， 在 该 状态 下 ， 路 由 喜 周 期 性 地 回 邻 届 发 送 Hello 报 文 ， 但 是 当前 并 未 从 邻居 
收 到 有 效 的 Hello 报 文 。 当 路 由 器 收 到 邻居 发 送 的 Hello 报 文 后 (但 是 没有 在 该 报 文 的 “ 邻 
居 ” 字 段 中 看 到 自己 的 Router-ID )， 则 将 邻居 的 状态 切换 到 Init。 

。 2-Way ( 双 问 通信 ) : 当 OSPF 路 由 器 收 到 百 连 链 路 上 茶 个 邻 届 发 送 过 来 的 Hello 
报 文 并 且 在 该 报 文 的 “邻居 ”字段 中 发 现 自 己 的 Router-ID 时 ， 它 会 将 该 邻居 置 为 2-Way 
状态 ， 这 表明 它 与 邻居 确认 了 双向 通信 。2-Way 状态 可 以 视 为 OSPF 的 稳定 状态 之 一 ， 
也 是 建立 邻接 关系 的 基础 。 

e ExStart (交换 初始 ) : 在 该 状态 下 ， 路 由 址 发 送 空 的 DD 报 文 以 便 协 商 Master/Slave， 
Router-ID 最 大 的 路 由 器 会 成 为 Master 路 由 需 ，DD 序列 号 就 是 由 Master 路 由 器 决定 的 。 
用 于 Master/Slave 协商 的 报 文 是 空 的 、 不 携 闪 任何 LSA 头 部 的 DD 报 文 , 在 这 些 报 文中 ， 
I 比特 位 被 设置 为 1。 

。 Exchange (交换 ) : 在 该 状态 下 ， 路 由 器 回 邻 居 发 送 描述 目 己 LSDB 的 DD 报 文 ， 
DD 报 文 中 包含 LSA 的 头 部 (而 不 是 完整 的 LSA 数据 )。DD 报 文 逐个 发 送 ， 每 个 报 文 
中 包含 着 DD 序列 号 ，DD 序列 号 是 由 Master 路 由 器 决定 的 ， 这 个 序列 号 在 DD 报 文 的 
交互 过 程 中 被 递增 ， 以 确保 DD 报 文 交互 过 程 的 有 序 性 和 可 靠 性 。 

。 Loading (加 载 ) : 在 该 状态 下 ， 路 由 需 癌 邻居 发 送 LSR 以 便 请 求 LSA 的 完整 数 
据 。 对 方 使 用 LSU 报 文 进行 回应 ， 因 此 只 有 LSU 报 文 里 才 有 LSA 的 完整 信息 。 在 收 到 
LSU 报 文 后 ， 路 由 器 需要 发 送 LSAck 对 其 中 的 LSA 进行 确认 。 

e Full (全 了 毗邻 ) : 当 接口 上 待 请 求 的 LSA 列表 为 空 时 ， 表 明 路 由 器 已 经 完成 了 与 
邻居 的 LSDB 同步 ， 没 有 再 需要 请 求 的 LSA 了 ， 此 时 邻居 的 状态 被 置 为 Full。 

2. 邻接 关系 建立 过 程 详解 

在 图 3-10 所 示 的 例子 中 ,存在 两 台 路 由 器 :Rl 及 R2, 两 者 的 Router-ID 分 别 是 1.1.1.1 
及 2.2.2.2。 两 台 路 由 器 的 GE0/0/0 接口 都 已 经 激活 了 OSPF。 通 过 这 个 例子 ， 大 家 将 了 
解 OSPF 邻接 关系 的 建立 过 程 。 

R1 的 GE0/0/0 接口 激活 OSPF 后 开始 发 送 组 播 的 Hello 报 文 (目的 IP 地 址 为 
224.0.0.5)， 在 该 报 文 的 OSPF 头 部 中 ， 填 写 看 R1 的 Router-ID 及 该 接口 的 区 域 DD。 田 
外 ， 该 Hello 报 文 的 荷载 中 ， 填 写 着 R1 的 GE0/0/0 接口 的 网 络 掩 码 、Hello 间隔 、 路 由 
器 失效 间 隅 ， 以 及 R1 在 该 接口 上 所 发 现 的 邻居 ， 由 于 此 时 R1 并 未 在 该 接口 上 发 现任 何 
邻居 ， 因 此 “邻居 ”字段 为 空 。 

R2 收 到 这 个 Hello 报 文 后 ， 首 先 会 对 该 报 文 进行 检查 。 由 于 双方 使 用 以 太 网 接口 互 
联 ， 在 这 种 类 型 的 接口 上 ，OSPF 将 会 检查 对 接 双 方 的 网 络 推 码 是 否 一 致 ， 因 此 ，R2 将 
检查 自己 GE0/0/0 接口 的 网 络 掩 人 码 与 收 到 的 Hello 报 文 中 的 “网 络 掩 码 ”字段 是 否 一 致 ， 
如 果 不 一 致 ， 则 会 忽略 该 报 文 。 此 外 ，R2 还 会 检查 其 GE0/0/0 接口 的 Hello 间隔 、 路 由 
器 失效 间隔 与 收 到 的 Hello 报 文中 对 应 的 字段 是 否 一 致 ， 如 果 不 一 致 ， 也 会 忽略 该 报 文 。 
实际 上 ，R2 对 Hello 报 文 的 检查 项 并 不 局 限 在 上 述 内 容 。 当 Hello 报 文 检查 通过 后 ，R2 
将 R1 的 状态 设置 为 Init。 
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图 3-10 Ri 与 R2 在 直 连 链 路 上 发 现 彼 此 并 形成 邻居 关系 


接 下 来 ，R2 在 上 自己 发 送 的 Hello 报 文 的 “邻居 ”字段 中 写 入 Rl 的 Router-ID。 而 当 
R1 收 到 R2 发 送 过 来 的 Hello 报 文 并 且 在 “邻居 ”字段 中 发 现 目 己 的 Router-ID 时 ， 它 总 
识 到 邻居 R2 已 经 发 现 了 自己 , 并且 认 可 了 自己 所 发 送 的 Hello 报 文中 的 相关 参数 ， 于 是 
它 将 R2 添加 到 自己 的 邻居 表 并 且 把 R2 的 状态 设置 为 2-Way。 

随后 R1 在 自己 发 送 的 Hello 报 文 的 “邻居 ”字段 中 写 入 R2 的 Router-ID， 后 者 收 到 
该 报 文 后 ， 在 其 邻居 表 中 将 R1 的 状态 切换 到 2-Way。 至 此 ，R1 与 R2 形成 了 邻居 关系 。 

如 果 路 由 器 的 接口 接 入 一 个 多 路 访问 网 络 ， 那 么 OSPF 邻居 关系 到 达 2-Way 之 后 ， 
将 开始 进行 DR 及 BDR 选举 。 在 本 例 中 ，R1 及 R2 通过 以 太 网 接口 互联 ， 因 此 两 者 的 
GE0/0/0 接口 被 视 为 接 入 同一 个 多 路 访问 网 络 ， 此 时 DR 及 BDR 的 选举 过 程 将 在 这 里 展 
开 。 关 于 DR 及 BDR 的 概念 及 作用 ， 本 章 将 在 后 续 的 小 丰 中 详细 探讨 。 

接 下 来 ， 在 ExStart 状态 下 R1 及 R2 需要 交互 空 的 DD 报 文 以 便 协 商 Master/Slave 
(如 图 3-11 所 示 )。 由 于 R2 的 Router-ID 更 大 ， 因 此 它 胜 出 成 为 Master 路 由 癌 。 用 于 协 
商 Master/Slave 的 DD 报 文 并 不 携带 任何 LSA 头 部 ， 而 且 工 比特 位 被 设置 为 1。 开始 时 
两 者 都 认为 自己 是 Master， 因 此 各 自 都 在 DD 报 文 中 将 MS 比特 位 设置 为 1。R1I 在 自己 
发 送 的 DD 报 文中 写 入 自己 设 定 的 DD 序列 号 一 一 200, 并 且 将 MS 比特 位 设置 为 1 以 向 
对 端 宣告 目 己 的 身份 是 Master。R2 收 到 这 个 DD 报 文 后 显然 是 不 同意 的 ， 因 为 它 的 
Router-ID 比 R1 要 更 大 ， 因 此 在 它 发 送 的 DD 报 文中 ，MS 比特 位 也 被 设置 为 1!1，DD 序 
列 号 则 被 设置 为 它 自己 使 用 的 序列 号 一 一 300。 
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图 3-11 RIl 及 R2 使 用 DD 报 文 描述 自己 的 LSDB 


R1 收 到 DD 报 文 后 接受 了 上 自己 并 非 Master 路 由 器 的 事实 (因为 目 己 的 Router-ID 确 
实 要 更 小 )， 然 后 将 R2 的 状态 切换 到 Exchange 并 发 送 带 有 LSA 头 部 的 DD 报 文 ， 这 个 
DD 报 文 的 DD 序列 号 为 300 (也 就 是 R2 发 送 过 来 的 DD 序列 号 )，M 比特 位 设置 为 1 
表示 后 续 还 有 更 多 的 DD 报 文 ， 而 MS 比特 位 设置 为 0。 接 看 R2 收 到 了 RI1 发 送 过 来 的 
DD 报 文 , 于 是 将 R1 的 状态 切换 到 Exchange, 随后 自己 也 开始 发 送 携带 LSA 头 部 的 DD 
报 文 ， 此 时 DD 报 文 的 DD 序列 号 为 301 (在 上 一 个 序列 号 300 的 基础 上 加 1)，M 及 
MS 比特 位 均 设 置 为 1。 由 于 双方 的 LSDB 中 都 包含 较 多 LSA， 因 此 需 交 互 多 个 DD 报 
文 ， 而 在 该 过 程 中 ，Master 路 由 器 R2 将 DD 序列 号 逐次 加 1，Slave 路 由 器 R1 则 使 用 
前 者 的 DD 序列 号 来 发 送 自己 的 DD 报 文 ， 如 此 这 般 有 序 的 进行 。 

如 图 3-12 所 示 ， 经 过 数 次 DD 报 文 交互 后 ，R2 发 送 的 DD 序列 号 达到 308， 它 继续 
在 DD 报 文中 发 送 自己 剩余 的 LSA 头 部 ，R1 收 到 该 DD 报 文 后 ， 使 用 该 DD 序列 号 发 
送 了 自己 最 后 一 个 DD 报 文 ， 在 该 报 文中 ， 它 将 M 比特 位 设置 为 0。R2 收 到 该 DD 报 文 
后 , 继续 发 送 自己 的 DD 报 文 描述 剩余 LSA 头 部 , 而 恰巧 这 也 是 它 的 最 后 一 个 DD 报 文 ， 
它 在 该 报 文中 将 M 比特 位 设置 为 0。 当 该 报 文 到 达 R1 后 ， 虽 然 此 时 它 已 经 描述 完了 目 
己 的 LSDB， 但 是 它 依然 需要 确认 R2 所 发 送 的 最 后 一 个 DD 报 文 ， 于 是 它 向 R2 发 送 一 
个 空 的 DD 报 文 ， 该 报 文 的 DD 订 列 写 为 309。 

R1 及 R2 收 到 对 方 发 送 的 最 后 一 个 DD 报 文 后 ， 便 彻底 了 解 了 对 方 的 LSDB 中 所 包 
含 的 LSA《〈 头 部 )， 此 时 它们 需要 从 对 方 获取 感 兴 趣 的 LSA 的 完整 数据 ， 因 此 R1 将 R2 
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I 邻居 状态 切换 为 Loading，R2 同 理 。 接 下 来 ， 便 是 数据 库 同 步 过 程 ，R1 加 R2 发 送 LSR 
报 文 ， 用 于 请 求 感 兴趣 的 LSA， 而 R2 则 使 用 包含 LSA 完整 数据 的 LSU 报 文 进行 回应 ， 
同 理 ，R2 也 向 R1 发 送 用 于 请 求 LSA 的 LSR 报 文 , 而 后 者 也 使 用 LSU 报 文 进行 回应 。 双 
方 可 能 会 交互 多 个 LSR 及 LSU 报 文 ,直到 LSDB 实现 同步 ,RI1 或 R2 收 到 对 方 发 送 的 LSU 
报 文 后 ， 将 报 文 中 所 包含 的 LSA 加 载 到 自己 的 LSDB 中 ， 并 使 用 LSAck 确认 这 些 LSA。 
当 Rl 或 R2 发 现 自己 没有 其 他 的 LSA 需要 从 邻居 获取 后 ， 便 将 邻居 的 状态 切换 为 Full。 





A GEO/0/0 ;E010/0 LE 
DD 报 文 | 
I 比特 位 =0,M 比特 位 =1,MS 比特 位 =1 . 
DD 序列 号 =308 1 


LSA 头 部 | 
DD 报 文 I 


1 1 比特 位 =0,M 比特 位 =0,MS 比特 位 =0 ; 
1 DD 序列 号 =308 ' 
1 
1 





1 LSA 头 部 
| DD 报 文 ! Loading 
I 比特 位 =0,M 比特 位 =0,MS 比特 位 =1 
DD 序列 号 =309 1 
I LSA 头 部 ) 
Loading ! 0 
)DD 报 文 | 
1 I 比特 位 =0,M 比特 位 =0,MS 比特 位 =0 I 
1 DD 序列 号 =309 ' 
1 i 
, LSR 报 文 
! 请 求 的 LSA I 
和 | I 
| LSU 报 文 | 
I LSA | 
1 一 一 一 一 一 一 一 一 一 一 一 -| 
LSR 报 文 
; 请 求 的 LSA | 
-全 一 一 一 -一 一 一 一 一 一 
LSU 报 文 | 
. LSA : 
1 1 
ee | 
1 | 
Full ! ! Full 
图 3-12 RI1 及 R2 达到 全 毗邻 状态 
3.1.6 ”网 络 类 型 


OSPF 的 许多 功能 或 特性 都 是 基于 接口 实现 的 ， 当 一 个 接口 激活 OSPF 后 ， 该 接口 
会 维护 许多 OSPF 变量 , 例如 其 所 接 入 的 区 域 ID、 接 口 Cost 值 、DR 优先 级 、 邻 居 列 表 、 
认证 类 型 等 ， 接 口 的 网 络 类 型 (Network-Type) 也 是 其 中 之 一 ， 而 且 是 一 个 非常 重要 的 
变量 。OSPF 接口 的 网 络 类 型 与 该 接 日 采用 的 数据 链 路 层 封装 有 关 ， 在 不 同 网 络 类 型 的 
接口 上 OSPF 的 操作 有 上 所 不 同 。 

1， 点 对 点 类 型 (Point-to-Point，P2P ) 

点 到 点 网 络 指 的 是 在 一 段 链 路 上 只 能 连接 两 台 路 由 器 的 环境 。 一 个 典型 的 例子 是 
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PPP 链 路 ， 当 两 台 路 由 哗 通 过 PPP 链 路 直 连 时 ， 设 备 接口 上 采用 的 封装 协议 就 是 PPP， 
当 这 个 接口 激活 OSPF 后 ，OSPF 会 目 动 根据 该 接口 的 数据 链 路 层 封 装 将 其 网 络 类 型 设 
置 为 P2P。 另 外 ， 当 接口 采用 HDLC 封装 时 ， 其 OSPF 网 络 类 型 缺 省 也 为 P2P。OSPF 
在 网 络 类 型 为 P2P 的 接口 上 以 组 播 的 方式 (相应 的 组 播 他 地 址 为 224.0.0.5) 发 送 协议 报 
文 (Hello 报 文 、DD 报 文 、LSR 报 文 、LSU 报 文 以 及 LSAck 最 文 )。 缺 省 情况 下 ，P2P 
类 型 的 接口 以 10s 为 间隔 周期 性 地 发 送 Hello 报 文 。 

OSPF 在 P2P 类 型 的 网 络 中 不 会 选举 DR 及 BDR。 

2. 广播 型 多 路 访问 类 型 (Broadcast Multi-Access，BMA ) 

BMA (或 者 称 为 Broadcast) 是 一 个 文 持 广播 的 网 络 环境 ， 该 网 络 允 许多 人 台 路 由 需 
接 入 ， 任 意 两 台 路 由 器 之 间 都 能 直接 进行 二 层 通 信 ， 一 台 路 由 器 发 送出 去 的 广播 数 据 会 
被 所 有 其 他 的 路 由 器 收 到 。 以 太 网 (Ethernet) 是 典型 的 广播 型 多 路 访问 网 络 。 当 多 台 路 
由 器 接 入 到 同一 个 BMA 网 络 (例如 多 台 路 由 器 连接 在 同一 台 以 太 网 二 层 交换 机 上 ) 时 ， 
这 些 路 由 器 的 接口 一 旦 激活 OSPF 便 会 开始 发 送 组 播 的 Hello 报 文 从 而 发 现 网 络 中 的 其 
他 路 由 器 。 如 果 路 由 器 两 两 之 间 都 建立 全 上 毗邻 的 邻接 关系 ， 这 意味 着 每 台 路 由 器 不 得 不 
维护 大 量 的 邻接 关系 。 为 了 避免 这 个 问题 ，OSPF 在 这 种 网 络 中 会 进行 DR 和 BDR 的 选 
举 ， 所 有 非 DR、BDR 路 由 器 仅 与 DR 和 BDR 建立 邻接 关系 。 关 于 DR 及 BDR 的 概念 ， 
本 章 将 在 下 一 个 小 节 中 做 深入 的 探讨 。 

OSPF 在 BMA 类 型 的 接口 上 通常 以 组 播 的 方式 发 送 Hello 报 文 、LSU 报 文 及 LSAck 
报 文 ， 以 单 播 的 形式 发 送 DD 报 文 及 LSR 报 文 。 当 使 用 组 播 的 方式 发 送 协议 报 文 时 ， 有 
两 个 组 播 地 址 可 能 会 被 使 用 到 一 一 224.0.0.5 及 224.0.0.6。 当 路 由 器 需要 问 DR 以 及 BDR 
发 送 OSPF 报 文 时 ， 使 用 224.0.0.6 这 个 组 播 地 址 作为 报 文 的 目的 IP 地址 ， 当 需要 问 所 
有 的 OSPF 路 由 器 发 送 报 文 时 , 使 用 224.0.0.5。 缺 省 情况 下 , Broadcast 类 型 的 接口 以 10s 
为 间 隅 周 期 性 地 发 送 Hello 报 文 。 






上 当 两 人 台 路 由 器 在 以 太 网 接口 上 使 用 网 线 直接 相连 并 且 运 行 OSPF 时 ， 路 由 器 缺 省 
时 将 该 接口 的 OSPF 网 络 类 型 指定 为 Broadcast， 因 为 该 接口 的 数据 链 路 层 封 装 为 以 太 网 ， 
即使 在 该 场景 中 , 一 条 链 路 上 只 存在 两 台 路 由 器 , 接口 缺 省 的 网 络 类 型 也 应 该 是 Broadcast， 
而 不 是 P2P。 


3. 非 广 播 型 多 路 访问 类 型 (Non-Broadcast Multi-Access，NBMA ) 

NBMA 网 络 也 允许 多 台 路 由 器 接 入 ， 但 是 该 网 络 不 具备 广播 能 力 ， 正 因为 如 此 ， 
基于 组 播发 送 的 Hello 报 文 在 NBMA 网 络 中 可 能 就 会 遇 到 问题 。 在 这 种 场景 中 ， 为 了 
让 OSPF 路 由 器 之 间 能 够 顺利 地 发 现 彼此 并 且 正 确 地 建立 邻接 关系 ， 还 需要 进一步 的 
配置 ， 例 如 使 用 单 播 的 方式 来 发 送 OSPF 报 文 等 。NBMA 网 络 的 一 个 最 为 大 家 熟知 的 
代表 是 帧 中 继 〈Frame-Relay)， 另 一 个 例子 是 X.25。OSPF 在 NBMA 网 络 中 ， 也 会 进 
行 DR 及 BDR 的 选举 。 缺 省 情况 下 ，NBMA 类 型 的 接口 以 30s 为 间隔 周期 性 地 发 送 
Hello 报 文 。 

4. 点 对 多 点 类 型 (Point-to-Multipoint，P2MP ) 

与 前 面 介 绍 的 几 种 网 络 类 型 不 同 ，P2MP 并 非 路 由 器 根据 接口 的 数据 链 路 层 封装 自 
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动 设置 的 ， 而 是 必须 通过 网 络 管理 员 手 工 指定 的 。P2MP 有 点 类 似 于 将 多 条 P2P 链 路 的 
一 端 进行 捆绑 得 到 的 网 络 。 在 P2MP 网 络 中 无 需 选举 DR、BDR。OSPF 在 P2MP 类 型 的 
接口 上 通常 以 组 播 的 方式 发 送 Hello 报 文 ， 以 单 播 的 方式 发 送 其 他 报 文 。 缺 省 情况 下 ， 
Hello 报 文 的 发 送 间 隔 为 30s。 

值得 注意 的 是 ， 两 个 路 由 器 的 直 连 接口 即使 网 络 类 型 不 岂 配 ， 也 能 够 建 并 起 OSPF 
邻接 关系 ， 但 是 OSPF 路 由 的 计算 却 是 极 有 可 能 出 现 问 题 的 ， 这 是 因为 接口 的 网 络 类 型 
会 影响 到 路 由 器 产生 的 LSA 中 对 该 接口 的 描述 , 而 这 将 关系 到 路 由 器 对 网 络 拓扑 的 理解 
以 及 路 由 的 计算 。 因 此 ，OSPF 邻居 的 互联 接口 网 络 类 型 必须 一 致 。 

前 面 已 经 说 到 ，OSPF 的 网 络 类 型 是 协议 根据 接口 的 数据 链 路 层 封 装 上 自动 设置 的 ， 
在 图 3-13 中 ， 两 台 处 于 网 络 接 入 层 的 路 由 器 AS-R1 及 AS-R2 都 通过 双 链 路 上 联 到 核心 
层 的 路 由 器 CO-R1 及 CO-R2。 四 台 路 由 器 都 在 各 目 接 口上 激活 OSPF。 由 于 这 此 路 由 规 
都 是 采用 以 太 网 接口 互联 ， 因 此 这 些 接口 的 网 络 类 型 缺 省 均 为 Broadcast， 于 是 在 邻 届 关 
系 的 建立 过 程 中 ，OSPEF 会 在 每 段 以 太 网 链 路 上 选举 DR 及 BDR。 然 而 ， 这 实际 上 是 没 
有 必要 而 且 浪 费时 间 的 (DR 及 BDR 的 选举 过 程 涉及 一 个 等 待 计时 器 ， 这 增加 了 和 直 连 路 
由 器 形成 邻接 关系 的 时 间 )， 因为 这 些 链 路 其 实 从 逻辑 的 角度 看 都 是 点 对 点 的 连接 , 选举 
DR 或 BDR 实在 是 画蛇添足 。 因 此 为 了 提高 OSPF 的 工作 效率 ， 加 快 邻接 关系 的 建立 过 





以 太 网 链 路 
图 3-13 ”修改 接口 的 OSPF 网 络 类 型 


在 接口 配置 视图 中 使 用 ospf network { p2p | p2mp | broadcast | nbma } 即 可 修改 该 
接口 的 网 络 类 型 。 当 然 ， 在 链 路 中 某 一 侧 的 接口 上 修改 了 网 络 类 型 后 ， 记 得 修改 太一 侧 
的 接口 ， 两 边 的 网 络 类 型 需 确保 一 致 。 


3.1.7 DR 及 BDR 的 概念 


通俗 的 讲 ， 多 路 访问 (Multiple-Access， 简 称 MA) 网 络 指 的 是 在 同一 个 共享 介质 中 
连接 着 多 个 设备 的 网 络 , 在 这 个 网 络 中 , 任意 两 台 设 备 之 间 都 能 够 直接 地 进行 二 层 通信 。 
多 路 访问 网 络 有 两 种 ， 一 种 是 广播 型 多 路 访问 〈Broadcast Multiple-Access，BMA ) 网 络 ， 
例如 以 太 网 。 男 一 种 则 是 非 广播 型 多 路 访问 (Non-Broadcast Multiple-Access，NBMA ) 
网 络 ， 例 如 帧 中 继 。BMA 网 络 的 一 个 典型 示例 是 一 台 以 太 网 交换 机 连接 看 多 台 路 由 旨 ， 
这 些 路 由 器 的 接口 具备 从 这 个 网 络 访问 其 他 路 由 融 的 能 力 ， 才 有 一 个 广播 数据 被 及 出 ， 
则 整个 网 络 中 的 路 由 器 都 会 收 到 。 而 在 帧 中 继 环境 中 ， 多 人 台 路 由 器 同样 可 以 通过 帧 中 继 
链 路 构建 一 个 MA 网 络 ， 只 不 过 帧 中 继 链 路 并 不 文 持 广播 ， 但 不 管 怎样 ， 这 不 影响 一 人 台 
路 由 器 通过 这 个 共享 介质 去 访问 其 他 设备 ， 上 只 要 虚 电 路 建立 得 当 。 

下 面 以 BMA 网 络 为 例 ， 讲 讲 OSPF 需要 面 对 的 问题 。 现 在 假设 有 多 人 台 路 由 需 接 入 
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到 同一 人 台 以 太 网 交换 机 ， 这 些 路 由 器 的 接口 都 配置 同一 个 网 段 的 IP 地 址 (如 图 3-14 所 
示 )， 并 且 都 在 接口 上 激活 OSPF。 完 成 上 述 操作 后 ， 组 播 Hello 报 文 立即 开始 在 网 络 中 
交互 ， 设 想 一 下 如 果 这 些 路 由 器 的 接口 两 两 建立 OSPF 邻接 关系 ， 这 就 意味 看 网 络 中 共 
有 n(n-1)/2 个 邻接 关系 (n 为 路 由 器 的 个 数 )。 维 护 如 此 多 的 邻接 关系 不 仅仅 额外 消耗 设 
备 资源 ， 也 增加 了 网 络 中 LSA 的 泛 洪 数量 。 为 优化 该 场景 下 的 OSPF 邻接 关系 数量 ， 并 
减少 不 必要 的 协议 流量 ，OSPF 会 在 每 一 个 MA 网 络 中 选举 一 个 DR (Designated Router， 
指定 路 由 器 ) 和 一 个 BDR (Backup Designated Router， 备 用 指定 路 由 器)。 


OSPF 邻接 关系 





图 3-14 BMA 网 络 中 的 OSPF 邻接 关系 


我 们 把 既 不 是 DR 又 不 是 BDR 的 路 由 器 称 为 DROther，MA 网 络 中 的 所 有 DROther 
都 只 和 DR 以 及 BDR 建立 OSPF 邻接 关系 (如 图 3-15 所 示 )，BDR 也 与 DR 建立 邻接 关 
系 ， 而 DROther 之 间 只 停留 在 2-Way 状态 。 如 此 一 OSPF 邻接 关系 
来 ， 网 络 中 的 路 由 器 所 需 维 护 的 邻接 关系 数量 便 得 
到 了 优化 。 

DR 在 网 络 中 的 LSDB 同步 方面 有 着 关键 性 的 
作用 ， 它 负责 侦 听 网 络 中 的 拓扑 变更 信息 并 将 变更 
信息 通知 给 其 他 路 由 器 。 它 为 网 络 生 成 Type-2 LSA 
(一 种 ESA 类 型 )， 在 该 LSA 中 显示 出 了 连接 在 这 
个 MA 网 络 的 所 有 OSPF 路 由 器 的 Router-ID， 其 中 Des er i 
也 包括 DR 自己 。BDR 会 监控 DR 的 状态 ， 并 在 当 ““” ee 0 
前 DR 发 生 故 障 时 接 蔡 它 的 工作 。 WE 

DR、BDR 的 选举 是 通过 Hello 报 文 来 实现 的 ， 选 举 过 程 发 生 在 2-Way 状态 之 后 。 
路 由 器 将 自己 接口 的 DR 优先 级 填写 在 Hello 报 文 的 “DR 优先 级 ”字段 之 中 。 华 为 数 通 
产品 的 接口 DR 优先 级 缺 省 为 1， 这 个 值 可 以 通过 ospf dr-priority 命令 修改 (该 命令 需 
在 接口 视图 下 执行 )， 取 值 范 围 是 0~255。DR 优先 级 为 0 的 接口 不 具备 DR 及 BDR 选 
举 资格 。 当 接口 激活 OSPF 后 ， 它 首先 会 检查 网 络 上 是 否 已 经 存在 DR， 如 果 是 则 接受 
已 经 存在 的 DR 因此 DR 的 角色 不 有 具备 可 抢占 性 )， 和 否则 拥有 最 高 DR 优先 级 的 路 由 器 
将 成 为 DR， 当 DR 优先 级 相等 时 ， 拥 有 最 大 Router-ID 的 路 由 器 将 成 为 DR。 除了 DR 
的 选举 ，OSPF 还 会 进行 BDR 的 选举 ，BDR 的 选举 过 程 与 DR 类 似 ， 此 处 不 再 著述 。 

值得 注意 的 是 ，DR 及 BDR 是 一 个 接口 级 别 的 概念 ， 所 以 “ 某 台 路 由 器 是 DR” 的 
说 法 其 实 是 不 够 严谨 的 ， 严 格 地 说 应 该 是 :“ 某 台 路 由 器 的 某 个 接口 在 这 个 MA 网 络 中 
是 DR”。 在 一 个 MA 网 络 中 ，DR 负责 确保 接 入 该 网 络 中 的 所 有 OSPF 路 由 右 拥 有 相同 
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的 LSDB， 也 就 是 确保 这 些 LSDB 的 同步 。DR 使 用 组 播 目 的 IP 地 址 224.0.0.5 向 该 网 络 
中 发 送 LSU 报 文 ， 所 有 的 OSPF 路 由 器 都 会 侦 听 这 个 目的 人 PP 地 址 ， 并 与 DR 同步 目 己 
的 LSDB。 而 DROther 感知 到 拓扑 变化 时 ， 问 224.0.0.6 发 送 LSU 报 文 以 便 通告 这 个 变 
化 ，DR 及 BDR 会 侦 听 这 个 组 播 地 址 。 

在 路 由 器 上 ， 使 用 display ospf interface 命令 可 以 查看 某 个 特定 接口 的 OSPF 信息 。 
例如 : 


<blacktea3>display ospf interface GigabitEthernet 0/0/0 


OSPF Process 1 with Router ID 1.1.1.1 
Interfaces 


Interface: 192.168.123.1 (GigabitEthernet0/0/0) 

Cost: 1 State: DROther Type: Broadcast MTU: 1$00 
Priority: 1 

Designated Router: 192.168.123.3 

Backup Designated Router: 192.168.123.2 

Timers: Hello 10 , Dead 40 , Poll 120 , Retransmit $ , Transmit Delay 1 


以 上 输出 的 是 某 台 路 由 器 GE0/0/0 接口 的 OSPF 信息 ， 从 中 大 家 能 看 到 ， 该 接口 所 
连接 的 MA 网 络 中 ,DR 是 192.168.123.3 (此 处 指 的 是 该 DR 设备 的 接口 IP 地 址 ), BDR 
是 192.168.123.2， 并 且 该 接口 目 身 的 角色 是 DROther， 且 接口 的 DR 优先 级 为 1。 


3.1.8 区域 的 概念 及 多 区 域 部 署 


假设 有 这 么 一 座 小 城 , 城 里 和 谐 地 居住 看 多 户 人 家 , 所 有 的 信息 都 是 透明 和 开放 的 ， 
每 家 每 户 把 自己 家 门口 相关 情况 、 门 口 的 马路 甚至 对 门 的 邻居 等 信息 都 发 布 出 来 ， 这 些 
信息 在 街坊 邻居 之 间 相 互 传播 。 如 此 一 来 ， 每 家 每 户 都 对 这 座 城 有 了 全 面 的 了 解 ， 相 当 
于 大 家 脑海 中 都 拥有 了 这 座 城 的 地 图 , 街坊 邻居 来 来 往往 、 走 街 串 埠 也 能 选择 最 近 的 路 。 
当 城 市 的 规模 还 小 的 时 候 这 自然 是 行 得 通 的 ， 但 是 随 独 城市 的 发 展 ， 其 规模 逐渐 变 大 、 
住户 逐渐 增多 ， 承 必然 会 出 现 各 种 问题 ， 璧 如 每 户 人 家 都 得 知晓 家 家 户 户 的 情况 ， 不 得 
不 去 关注 城 里 各 条 街道 的 名 字 和 脉络 ， 记 忆 这 些 信息 肯定 非常 费 脑 子 的 ， 更 不 用 提 还 要 
在 这 错综复杂 的 街道 、 层 舍 之 间 思 考 走 哪 一 条 路 到 每 一 个 目的 是 最 近 的 ， 大 家 都 将 生活 
得 很 疲惫。 

我 们 把 一 系列 连续 的 OSPF 路 由 器 组 成 的 网 络 称 为 OSPF 域 (Domain)， 相 当 于 上 
例 中 的 这 座 城 ， 为 了 保证 每 台 路 由 器 能 够 正确 地 计算 路 由 ， 就 不 得 不 要 求 域内 所 有 的 路 
由 器 同步 LSDB， 即 拥有 相同 的 LSDB， 从 而 达到 对 整个 OSPF 网 络 的 一 致 认 知 。 当 网 络 
的 规模 变 得 越 来 越 大 时 ， 每 台 路 由 器 所 维护 的 LSDB 也 逐渐 变 得 爱 肿 ， 而 基于 这 个 庞大 
的 LSDB 进行 的 计算 也 势必 需要 耗费 更 多 的 设备 资源 ， 这 无 疑 将 导致 设备 的 负担 加 大 。 
另外 网 络 拓扑 的 变化 将 会 引起 整个 域内 所 有 路 由 吉 的 重 计 算 。 而 且 域内 路 由 无 法 进行 汇 
总 ， 随 着 网 络 规模 的 增 大 ， 每 台 路 由 器 需要 维护 的 路 由 表 也 越 来 越 庞 大 ， 这 又 是 一 个 不 
能 被 忽略 的 资源 消耗 。 

基于 上 述 考 虑 ，OSPF 引入 了 区 域 (Area) 的 概念 。 域 和 区 域 的 关系 类 似 城市 与 其 
下 辖 的 行政 区 的 关系 。 在 一 个 较 大 规模 的 网 络 中 ， 我 们 会 把 整个 OSPF 域 切割 成 多 个 区 
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域 ， 这 就 相当 于 一 个 城市 拥有 多 个 行政 区 。 某 些 LSA 的 泛 潜 被 限制 在 单个 区 域内 部 ， 同 
一 个 区 域内 的 路 由 器 维护 一 套 相 同 的 LSDB, 它们 对 这 个 区 域内 的 网 络 有 着 一 致 的 认 知 。 
每 个 区 域 独立 地 进行 SPF 计算 。 区 域内 的 拓扑 结构 对 于 区 域外 部 而 言 是 不 可 见 的 ， 而 且 
区 域内 部 拓扑 变化 的 通知 可 以 被 局 限 在 该 区 域内 ， 从 而 避免 对 区 域外 部 造成 影响 。 如 果 
一 台 路 由 器 的 多 个 接口 分 别 接 入 了 多 个 不 同 的 区 域 ， 则 它 将 为 每 个 区 域 分 别 维护 一 套 
LSDB。 多 区 域 的 设计 极 大 程度 地 限制 了 LSA 的 泛 洪 ， 有 效 的 把 拓扑 变化 的 影响 控制 在 
区 域内 ,另外 在 区 域 边 界 路 由 器 上 可 以 通过 执行 路 由 汇总 来 减少 网 络 中 的 路 由 条 目 数量 。 
多 区 域 提 高 了 网 络 的 可 扩展 性 ， 有 利于 组 建 更 大 规模 的 网 络 。 

OSPF 的 每 一 个 区 域 都 有 一 个 编号 ， 不 同 的 编号 表示 不 同 的 区 域 ， 这 个 区 域 编号 也 
被 称 为 区 域 ID (Area-ID )。OSPF 的 区 域 ID 是 一 个 32bit 的 非 负 整数 ， 按 点 分 十 进 制 的 

形式 (与 IPv4 地 址 的 格式 一 样 ) 呈现 ， 例 如 Area0.0.0.1， 为 了 简便 起 见 ， 我 们 也 会 采用 
十 进 制 的 形式 来 表示 ， 这 里 是 几 个 例子 : Area0.0.0.1 等 同 于 Areal，Area0.0.0.255 等 同 
于 Area255，Area0.0.1.0 等 同 于 Area256。 许 多 网 络 厂商 的 设备 同时 支持 这 两 种 区 域 ID 
配置 及 表示 方式 。 

上 文 已 经 说 到 ， 一 个 OSPF 域 中 允许 存在 多 个 区 域 ， 就 像 一 个 城市 可 以 包含 多 个 行 
政 区 ， 而 每 个 城市 都 有 一 个 中 心 区 ， 类 似 于 枢纽 的 概念 ， 对 于 OSPF 而 言 ， 这 就 是 骨干 
区 域 一 一 Area0 〈 或 者 Area0.0.0.0)。OSPF 要 求 域 中 的 所 有 非 骨 干 区 域 〈 区 域 ID 不 为 0 
的 区 域 ) 都 必须 与 Area0 相连 。 一 个 域 中 如 果 存 在 多 个 区 域 ， 那 么 必须 有 而 且 只 能 有 一 
个 Area0，Area0 负责 在 区 域 之 间 发 布 路 由 信息 。 为 避免 区 域 间 的 路 由 形成 环 路 ， 非 骨 
区 域 之 间 不 允许 直接 相互 发 布 区 域 间 的 路 由 。 因 此 ， 所 有 的 ABR (Area Border Router， 
区 域 边 界 路 由 器 ) 都 至 少 有 一 个 接口 属于 Area0， ,Aeead 始终 包含 所 有 的 ABR。 形 
象 一 点 的 理解 是 , 区 域 则 的 路 由 模型 有 点 类 似 一 一 
星 型 结构 ,骨干 区 域 在 中 间 , 而 每 个 非 骨 干 区 
域 是 分 文 〈 如 图 3-16 所 示 )。 

任何 一 个 非 骨 干 区 域 都 必须 与 Area0 相 
连 , 而 当 网 络 中 某 个 区 域 没 有 与 Area0 直接 相 
连 时 ， 该 区 域 的 路 由 计算 就 会 出 现 问题 。 在 
图 3-17 所 示 的 网 络 中 ，Areal 已 经 与 Area0 
直接 相连 ，R2 可 以 利用 其 在 Area0 及 Areal 
内 收 到 的 LSA 计算 出 到 达 这 两 个 区 域 的 区 域 。 “\ 
内 部 路 由 (Intra-Area Route)。 另 外 ，R2 也 会 f -~ 区 域 间 路 由 
将 到 达 Areal 内 各 个 网 段 的 OSPF 区 域 间 路 由 
(Inter-Area Route ) 通 告 给 Area0 将 到 达 Area0 
内 各 个 网 段 的 OSPF 区 域 间 路 由 通告 给 a 
Areal。 如 此 一 来 这 两 个 区 域 的 设备 之 间 相互 图 3-16 ”OSPF 的 星 形 逻 辑 结 构 
通信 束 没 有 问题 了 。 但 是 Area2 的 设计 却 存在 问题 ， 因 为 它 并 未 与 Area0 和 直接 相连 。R3 
的 一 个 接口 接 入 Areal， 男 一 个 接口 则 接 入 Area2， 它 并 没有 任何 接口 接 入 Area0， 因 此 
它 不 会 被 允许 将 到 达 Area2 的 路 由 通告 给 Areal， 前 文 提 到 的 规则 : OSPF 的 区 域 间 路 由 
都 经 由 Area0 做 中 转 ， 任 何 两 个 非 骨 干 区 域 之 间 是 不 允许 直接 交互 区 域 间 路 由 的 ， 基 于 








108 HCNP 路 由 交换 学 习 指 南 


这 些 原因 ，Area2 就 变 成 了 一 个 “孤岛 ”， 该 区 域内 的 设备 无 法 访问 区 域外 部 ， 当 然 区 域 
外 的 设备 也 并 不 知晓 到 达 Area2 内 的 路 由 。 


EEE ELLE 





ELLIETALIEELLE ET 


图 3-17 非 骨 干 区 域 Area2 eee Area0 直接 相连 


解决 上 述 问题 最 好 的 方法 即 修改 OSPF 的 网 络 设计 ， 将 Area2 与 Area0 直接 相连 。 
在 某 些 场景 下 ， 这 个 改动 可 能 牵涉 到 网 络 改 动 成 本 等 问题 ， 因 此 我 们 可 能 会 考虑 一 种 临 
时 的 解决 方案 ， 那 就 是 OSPF 虚 链 路 (Virtual Link)。Virtual Link 是 一 种 逻辑 的 链 路 ， 并 
非 一 条 真实 的 链 路 , 您 可 以 将 它 理解 为 骨干 区 域 的 一 个 延伸 , 通过 搭建 一 条 Virtual Link， 
可 以 将 原本 没有 与 骨干 区 域 直 接 相 连 的 区 域 和 后 者 连接 起 来 。 还 是 看 图 3-17 所 示 的 例 
子 ， 可 以 在 R2 及 R3 之 间 建 立 一 条 穿越 Areal 的 Virtual Link， 如 此 一 来 ，R3 就 可 以 通 
过 这 条 Virtual Link 与 骨干 区 域 相连 ， 当 然 ，Area2 也 就 与 骨干 区 域 相连 了 ， 现 在 区 域 间 
的 路 由 就 可 以 由 R3 来 完成 传递 ，Area2 的 孤岛 问题 也 就 解决 了 。 

男 一 个 有 可 能 遇 到 的 问题 是 , 骨干 区 域 不 连续 或 者 被 分 割 的 情况 。 在 图 3-18 所 示 的 
网 络 中 ，Area0 被 Areal“ 切 割 ” 成 了 两 部 分 ， 从 而 导致 同一 个 OSPF 域 中 出 现 不 连续 的 
骨干 区 域 。 这 显然 是 有 问题 的 ， 因 为 在 这 个 域 中 存在 两 个 Area0。 此 时 R2 能 够 将 其 到 达 
GE0/0/0 接口 所 接 入 的 Area0 的 区 域 间 路 由 通告 给 Areal， 因 为 它 是 一 台 ABR，R3 虽然 
会 收 到 这 些 区 域 间 路 由 ， 但 此 时 它 自 己 的 GE0/0/0 接口 已 经 接 入 Area0 并 且 在 Area0 中 
已 建立 起 一 个 邻接 关系 (与 R4)， 如 果 它 采纳 通告 自 R2 的 区 域 间 路 由 并 且 将 路 由 通告 
给 其 GE0/0/0 接口 所 连接 的 Area0， 这 种 行为 在 某 些 特殊 的 场景 下 容易 引发 路 由 环 路 。 
因此 OSPF 要 求 ABR 只 能 将 自己 到 达 直 连 区 域 的 区 域内 部 路 由 通告 给 Area0 而 不 能 将 
自己 到 达 其 他 区 域 的 区 域 间 路 由 通告 给 Area0), 另外 , ABR 可 以 将 自己 到 达 直 连 区 域 的 
区 域内 部 路 由 以 及 到 达 其 他 区 域 的 区 域 间 路 由 通告 给 非 骨干 区 域 。 在 本 例 中 ，R2 通告 过 
来 的 区 域 间 路 由 是 不 允许 被 通告 给 R3 的 GE0/0/0 接口 所 连接 的 Area0 的 , 只 有 到 达 Areal 
的 路 由 会 被 通告 。 再 者 ， 由 于 此 时 R3 已 在 Area0 中 与 R4 建立 了 邻接 关系 ， 因 此 它 自己 
在 计算 路 由 时 将 忽略 R2 通告 过 来 的 区 域 间 路 由 ， 仅 当 R3 在 Area0 中 没有 任何 邻接 关系 
时 《例如 与 R4 之 间 的 连接 断 开 ) 才 会 将 这 些 路 由 写 入 路 由 表 。 至 此 ， 由 于 网 络 规划 的 不 合 
理 ， 井 成 OSPF 路 由 的 传递 及 计算 等 存在 诸多 问题 。 解 决 这 个 问题 的 最 好 办 法 是 修改 OSPF 
的 规划 ， 当 然 在 R2 与 R3 之 间 创 建 一 条 穿越 Areal 的 虚 链 路 也 可 以 临时 解决 这 个 问题 。 
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图 3-18 骨干 区 域 不 连续 
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值得 一 提 的 是 ，Virtual Link 并 不 作为 一 种 常规 的 技术 手段 在 实际 的 项 目 中 被 部 署 ， 
而 是 一 种 临时 性 的 方案 ,合理 的 OSPF 网 络 规划 依然 是 一 个 最 佳 的 选择 。 关 于 Virtual Link 
的 进一步 内 容 ， 请 查看 本 书 相 关 章 节 。 


3.1.9 ”OSPF 路 由 器 的 角色 、 


在 OSPF 中 ， 存 在 多 种 路 由 器 角色 ， 每 种 路 由 器 在 OSPF 网 络 中 都 上 友 挥 看 不 同 的 作 
用 。 值 得 强调 的 是 ，OSPF 不 仅仅 能 够 被 部 普 在 路 由 器 上 ， 实 际 上 这 个 公有 协议 在 许多 
交换 机 、 防 火 墙 产品 ， 甚 至 Linux 主机 上 都 能 被 实现 ， 因 此 所 谓 的 “OSPF 路 由 器 ” 角 
色 ， 实 际 上 是 以 路 由 器 作为 代表 。 

e 内 部 路 由 器 (Internal Router, IR): 所 有 接口 都 接 入 同一 个 OSPF 区 域 的 路 由 器 。 
例如 图 3-19 中 的 R1、R4 及 RS， 它 们 所 有 直 连 接口 都 在 同一 个 区 域 中 激活 OSPF。 

e 区 域 边 界 路 由 器 (Area Border Router，ABR): 接 入 多 个 区 域 的 路 由 器 。 并 非 所 
有 接 入 多 个 区 域 的 路 由 器 都 是 ABR， 它 必须 有 人 至 少 一 个 接口 在 Area0 中 激活 ， 同 时 还 有 
其 他 接口 在 其 他 区 域 中 激活 。ABR 负责 在 区 域 之 间 传 递 路 由 信息 ， 因 此 ABR 必须 连接 
到 Area0， 同 时 连接 着 其 他 区 域 。 例 如 图 3-19 中 的 R2 及 R3。 

。 骨干 路 由 器 (Backbone Router，BR): 接 入 Area0 的 路 由 器 。 一 台 路 由 器 如 果 所 
有 的 接口 都 接 入 Area0， 那 么 它 就 是 一 台 骨 干 路 由 器 ， 男 外 ABR 也 是 骨干 路 由 器 。 例 如 
图 3-19 中 的 R1、R2、R3 及 R6。 

e。 AS 边界 路 由 器 (AS Boundary Router, ASBR): 工作 在 OSPF 自治 系统 (Autonomous 
System, AS ) 边 界 的 路 由 器 .ASBR 将 OSPF 域外 的 路 由 引入 本 域 , 外 部 路 由 在 整个 OSPF 
域内 传递 。 例 如 图 3-19 中 的 R6， 它 是 图 中 OSPF 域 的 边界 设备 ， 除 了 接 入 OSPF 网 络 ， 
它 还 接 入 了 一 个 RIP 网 络 ， 并 将 目 己 路 由 表 中 通过 RIP 学 习 到 的 路 由 重 分 发 到 了 OSPF 
中 。 并 不 是 同时 运行 多 种 路 由 协议 的 OSPF 路 由 器 就 一 定 是 ASBR，ASBR 一 定 是 将 外 
部 路 由 重 分 发 到 OSPF， 或 者 执行 了 路 由 重 分 发 操作 的 路 由 塔 。 
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图 3-19 ”OSPF 路 由 器 角色 
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3.2 LSA 及 特殊 区 域 


3.2.1 LSA 概述 及 常见 LSA 类 型 


大 家 已 经 知道 ， 运 行距 离 矢 量 路 由 协议 的 路 由 器 之 间 交 互 的 是 路 由 信息 ， 它 们 周期 
性 地 将 自己 的 路 由 表 泛 洪 出 去 ， 而 在 收 到 其 他 路 由 器 通告 过 来 的 路 由 信息 后 ， 它 们 会 更 
新 目 己 的 路 由 表 ， 然 后 再 继续 将 路 由 泛 洪 出 去 。 我 们 形象 地 把 这 种 行为 称 为 “基于 传闻 
的 更 新 ”实际 上 每 台 路 由 器 并 不 清楚 网 络 的 拓扑 结构 。 相 对 的 ,运行 链 路 状态 路 由 协议 
的 路 由 器 并 不 直接 交互 路 由 信息 ， 而 是 交互 链 路 状态 信息 。 所 有 的 路 由 器 都 会 产生 用 于 
描述 自己 直 连 接口 状况 的 链 路 状态 信息 并 且 将 其 通告 出 去 。 路 由 器 将 网 络 中 所 泛 洪 的 链 
路 状态 信息 都 收集 起 来 并 且 存 入 LSDB (Link-State Database, 链 路 状态 数据 库 ) 中 , LSDB 
可 以 被 视 为 对 整个 网 络 拓扑 结构 及 网 段 信 息 的 描绘 ，LSDB 同步 后 ， 所 有 路 由 器 拥有 对 
网 络 的 一 致 认 知 。 接 下 来 所 有 的 路 由 器 都 独立 进行 SPF (Shortest Path First) 算法 进行 计 
算 (SPF 算法 也 被 称 为 Dijkstra 算法 ), 计算 的 结果 是 路 由 器 得 到 一 棵 无 环 的 最 短路 径 树 ， 
这 棵 树 以 自己 为 根 ， 并 且 可 到 达 网 络 的 各 个 角落 ， 最 终 路 由 器 将 基于 这 棵 树 产 生 的 路 由 
加 载 到 路 由 表 中 。 

OSPF 是 典型 的 链 路 状态 路 由 协议 ， 使 用 LSA (Link State Advertisement， 链 路 状态 
通告 ) 来 承载 链 路 状态 信息 。LSA 是 OSPF 的 一 个 核心 内 容 ， 如 果 没 有 LSA，OSPF 是 
无 法 描述 网 络 的 拓扑 结构 及 网 段 信息 的 , 也 无 法 传递 路 由 信息 , 更 加 无 法 正常 工作 .OSPF 
定义 了 多 种 类 型 的 LSA, 深入 了 解 并 掌握 常见 的 LSA 类 型 是 非常 有 必要 的 。 表 3-2 列举 
了 几 种 和 常见 的 LSA 类型。 

表 3-2 


常见 的 OSPF LSA 类 型 及 描述 
I 


描述 


ee 每 台 OSPF 路 由 器 都 会 产生 的 LSA， 描 述 了 该 路 由 器 所 有 
OSPF 直 连 接口 的 状况 和 Cost 值 ， 该 LSA 只 能 在 接口 所 属 区 
( Router LSA) 域内 泛 洪 2 
网 络 LA 由 DR 产生 ， 描 述 该 DR 所 接 入 的 MA 网 络 中 所 有 与 之 形成 
cr mp 邻接 关系 的 路 由 器 ， 其 中 包括 DR 自身 ， 该 LSA 只 能 在 接口 
de 所 属 区 域内 泛 潜 
网 络 汇总 LSA 由 ABR 产生 ， 摘 述 了 到 达 某 个 区 域 的 目标 网 段 的 路 由 。 该 类 
(Network Summary LSA) | LSA 主要 用 于 区 域 间 路 由 的 传递 
ASBR 汇总 LSA 由 ABR 产生 , 用 于 描述 ASBR。ASBR 汇总 LSA 相当 于 一 条 
(ASBR Summary LSA) 到 达 ASBR 的 “主机 路 由 ?” 
AS 外 部 LSA Pp 
5 由 ASBR 产生 ， 用 于 摘 述 本 AS 之 外 的 外 部 路 由 


由 ASBR 产生 ， 用 于 描述 本 AS 之 外 的 外 部 路 由 。NSSA LSA 
非 完 全 末梢 区 域 LSA 仅仅 在 产生 这 个 LSA 的 NSSA 内 泛 洪 , 不 能 直接 进入 骨干 区 

(NSSA LSA) 域 。NSSA 的 ABR 会 将 7 类 LSA 转换 成 5 类 LSA 注入 到 骨 
干 区 域 














We 
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3.2.2 节 将 向 大 家 详细 地 阐述 每 种 LSA 的 功能 、 特 点 以 及 它们 的 报 文 格式 。 在 本 书 
后 续 的 内 容 中 ，Type-1 LSA〔 类 型 1 LSA) 指 的 是 路 由 器 LSA (Router LSA)， 其 他 类 型 
的 LSA 同 理 。 






“TY 细心 的 读者 可 能 会 发 现 ， 表 3-2 中 并 没有 体现 Type-6 LSA， 该 类 LSA 被 称 为 组 
成 员 LSA (Group Membership LSA)，, 这 种 LSA 在 MOSPF (组 播 扩 展 OSPF) 中 被 使 用 ， 
关于 它 的 介绍 超出 了 本 书 的 范围 。 


3.2.2 LSA 头 部 


OSPF 的 LSU 报 文 用 于 发 送 链 路 状态 更 新 ， 在 该 报 文 中 包含 着 一 个 或 多 个 LSA， 而 
且 是 LSA 的 完整 数据 (如 图 3-20 所 示 )。OSPF 定义 了 多 种 类 型 的 LSA， 但 是 这 些 LSA 
拥有 相同 的 LSA 头 部 。 图 3-21 展示 了 LSA 的 头 部 。 





图 3-20 在 LSU 报 文中 携 市 着 一 条 或 多 条 完整 的 LSA 















TI 


图 3-21 LSA 头 部 





LSA 头 部 一 共 20byte， 每 个 字段 的 含义 如 下 。 

。 链 路 状态 老化 时 间 (Link-State Age): 指示 该 条 LSA 的 老化 时 间 , 即 它 存在 了 多 
长 时 间 ， 单 位 为 秒 ， 这 是 一 个 16bit 的 整数 。 当 该 LSA 被 始 发 路 由 器 产生 时 ， 该 值 被 设 
置 为 0, 之 后 随 着 该 LSA 在 网 络 中 被 泛 洪 , 它 的 老化 时 间 逐 渐 累 加 。 当 茶 人 台 路 由 器 将 LSA 
存储 到 自己 的 LSDB 后 ，LSA 的 老化 时 间 也 在 递增 ， 当 老化 时 间 增 加 到 MaxAge《〈 最 大 
老化 时 间 ) 时 ， 该 LSA 将 不 再 被 用 于 路 由 计算 。 

。 可 选项 (Options): 总 共 8bit， 每 一 个 比特 位 都 对 应 了 OSPF 所 支持 的 某 种 特性 。 

。 链 路 状态 类 型 (Link-State Type): 指示 本 条 LSA 的 类 型 。OSPF 定义 了 多 种 类 型 
的 LSA， 每 种 LSA 用 于 描述 OSPF 网 络 的 某 个 部 分 ， 所 有 的 LSA 类 型 都 定义 了 相应 的 
类 型 编号。 常见 的 LSA 类 型 及 LSA 的 名 称 见 表 3-2。 
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。 链 路 状态 ID (Link-State ID): LSA 的 标识 。 不 同 的 LSA 类 型 ， 对 该 字段 的 定义 
是 不 同 的 。 

。 通告 路 由 器 (Advertising Router): 产生 该 LSA 的 路 由 器 的 Router-ID。 

。 链 路 状态 序列 号 (Link-Sate Sequence Number): 该 LSA 的 序列 号 , 该 字段 用 于 
判断 LSA 的 新 旧 或 是 否 存在 重复 。 

e 链 路 状态 校 验 和 (Link-State Checksum ): 校 验 和 。 

e。 长 度 (Length): LSA 的 总 字 节 长 度 。 

每 个 LSA 头 部 中 的 “ 链 路 状态 类 型 ”“ 链 路 状态 ID” 以 及 “通告 路 由 器 ”这 三 个 
字段 唯一 地 标识 了 一 个 LSA。 当 然 ， 在 同一 时 间 有 可 能 在 网 络 中 会 出 现 同一 个 LSA 的 
多 个 实例 ， 那 么 LSA 头 部 中 的 “ 链 路 状态 老化 时 间 ”“ 链 路 状态 序列 号 ”及 “ 校 验 和 ” 
字段 就 可 以 用 来 判断 实例 的 新 旧 ， 本 书 将 在 “判断 LSA 的 新 旧 ” 一 节 中 详细 介绍 这 个 


3.2.3 LSA 详解 


OSPF 的 LSA 种 类 繁多 ， 初 学 者 在 刚 接触 时 难免 会 有 点 曼 乎 ， 单 纯 地 讲解 每 种 LSA 
的 概念 及 功能 显然 不 够 直观 的 ， 因 此 本 节 将 通过 一 个 示例 来 逐一 为 大 家 介绍 常见 的 几 种 
LSAN, 

图 3-22 展示 了 一 个 简单 的 网 络 ， 该 网 络 中 部 团 了 OSPF。R1、R2 及 R3 的 GE0/0/0 
接口 连接 在 同一 台 以 太 网 二 层 交 换 机 上 ， 三 者 都 在 各 自 的 GE0/0/0 接口 上 激活 OSPF 并 
日 都 属于 Area0。 缺 省 情况 下 ， 这 些 接口 的 OSPF 网 络 类 型 为 Broadcast， 因 此 需要 选举 
DR 及 BDR， 我 们 通过 调节 接口 DR 优先 级 ， 使 得 R3 的 GE0/0/0 接口 成 为 这 个 网 络 的 
DR。R1 和 R2 的 GE0/0/1 接口 下 连 独 一 个 终端 网 段 ， 两 者 也 都 在 各 目 GE0/0/1 接口 上 激 
活 OSPF 并 都 属于 Area0。 男 外 R3 及 R4 使 用 Seriall/0/0 接口 直 连 ， 该 接口 采用 PPP 封 
装 ， 都 激活 OSPF 并 都 属于 Areal。R4 同时 还 连接 着 非 OSPF 网 络 (图 中 的 外 部 网 络 ， 
R4 在 连接 外 部 网 络 的 接口 上 并 未 激活 OSPF)， 并 且 将 外 部 路 由 10.0.0.0/8 引入 了 OSPF 
域 。 所 有 路 由 器 的 Router-ID 均 为 x.x.x.x， 其 中 x 为 设备 编号 ， 例 如 Rl 的 Router-ID 为 
1.1.1.1， 其 他 路 由 器 同 理 。 本 节 将 以 这 个 网 络 为 例 ， 详 细 介绍 几 种 常见 的 LSA 类 型 。 
表 3-2 列 出 了 这 些 LSA 类 型 。 总 体 来 说 , 每 种 LSA 都 有 各 目的 功能 , Type-1 LSA (Router 
LSA， 路 由 器 LSA) 及 Type-2 LSA (Network LSA， 网 络 LSA)〉 描绘 了 区 域内 部 的 网 络 
拓扑 以 及 IP 网 段 信 息 ， 它 们 只 能 在 本 区 域内 泛 洪 ， 有 了 这 两 种 LSA， 区 域内 的 路 由 器 
就 得 以 计算 出 到 达 本 区 域内 各 个 网 段 的 路 由 ， 这 些 路 由 被 称 为 区 域内 部 路 由 。 汇 总 LSA 
(Summary LSA) 有 两 种 ， 其 中 Type-3 LSA (Network Summary LSA， 网 络 汇 总 LSA) 
用 于 摘 述 一 个 区 域内 的 路 由 信息 并 在 区 域 之 间 传 递 ， 换 句 话 说， 该 类 LSA 用 于 告知 某 个 
区 域 到 达 其 他 区 域 的 路 由 ， 这 些 路 由 被 称 为 区 域 间 路 由 。Type-4 LSA (ASBR Summary 
LSA，ASBR 汇总 LSA) 则 用 于 描述 ASBR。Type-5 LSA (AS External LSA，AS 外 部 
LSA) 用 于 描述 OSPF 域外 的 路 由 。 

完成 图 3-22 中 的 OSPF 部 署 后 ， 首 先 看 一 下 路 由 器 的 LSDB， 以 R3 为 例 ， 它 有 一 
个 接口 接 入 Areal， 另 一 个 接口 接 入 Area0， 因 此 它 是 一 台 ABR， 它 分 别 为 这 两 个 区 域 
各 维护 一 个 LSDB。 使 用 display ospflsdb 命令 可 以 查看 路 由 器 的 LSDB。 
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192.168.123.1/24 
GEO/0O/0 










GE0O/0/] 
192.168.1.254/24 


192.168.123.3/24 :i ~ 192.168.34.3/24 
GEO0/0/0 2 Seriall/0/0 












外 部 网 络 
10.0.0.0/8 






可 Seriall/0/0 
R3 ;: 192.168.34.4/24 


GEO/0/1 


192 .168.2.254/24 GEO/0/0 


192.168.123.2/24 Area0 :: Areal 


TN 放出 用 机关 首 全 上 市 商 亲 证 二 癌症 市 册 市 辐 市 诈 抽 市 前 市 前 放 前 打 市 下 甫 各 放下 南 前 商 证 和 作 人 市 负 肌 站 仙 放 放出 春 关 帮 市 市 六 用 贡 前 间 间 公有 闪 人 症状 放 抽 及 让 放 肌 用 六 前 让 让 六 用 闪闪 前 前 间 而 信和 作 市 市 前 贡 评 首 甫 下 页 放 用 拓 大 太 丰 从 全 而 关 明 检 玫 市 从 放 内 帮 肌 Nm 汪 且 本 着 六 有 上 市 用 证 放 帮 和 1 和 让 放 放 有 


图 3-22 一 个 OSPF 网 络 示例 
<R3>dis ospf lsdb 


OSPF Process 1 with Router ID 3.3.3.3 


Link State Database 
Area: 0.0.0.0 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 2.2.2.2 2.2.2.2 下 48 80000014 el , 
Router lid hE 7 48 80000012 1 
Router 3.3.3.3 3.3:3.3 6 36 80000015 1 
Network 192.168.123.3 人 6 36 80000009 0 
Sum-Net 192.168.34.0 $3:3:3.3 162 28 80000001 48 
‘Sum-Asbr 4.4.4.4 3 130 28 80000001 48 
Area: 0.0.0.1 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 4.4.4.4 4.4.4.4 131 48 80000003 48 
Router 3 3:3.353 131 48 80000002 48 
~ Sum-Net 192.168.123.0 33.33 162 28 80000001 1 
“Sum-Net 192.168.2.0 二 31 28 80000001 到 
Sum-Net 192.168.1.0 93.393 5 28 80000001 2 
AS External Database 
Type LinkState ID AdvRouter Age Len Sequence Metric 
External 10.0.0.0 4,4.4.4 131 36 80000001 1 


从 上 面 的 输出 可 以 看 到 R3 的 LSDB， 其 中 包含 Areal 及 Area0 中 泛 洪 的 各 类 LSA， 
大 家 已 经 能 观察 到 Router LSA、Network LSA 以 及 Network Summary LSA， 男 外 还 有 在 
全 域 犯 围 内 泛 潜 的 AS External LSA。 由 于 同一 个 区 域内 的 路 由 器 关于 该 区 域 的 LSDB 是 
一 致 的 ， 因 此 就 没有 必要 再 去 R1、R2 及 R4 上 查看 LSDB 了 。 

1l. Type-1 LSA 

路 由 器 通过 该 LSA 搞 述 目 己 “家 门口 的 状况 ”。 每 一 台 运 行 OSPF 的 路 由 器 均 会 产 
生 Type-1 LSA， 该 LSA 描述 了 路 由 器 的 直 连 接口 状况 和 接口 Cost， 同 属 一 个 区 域 的 接 
口 共用 一 个 Type-1 LSA 摘 述 ， 当 路 由 器 有 多 个 接口 属于 不 同 区 域 时 , 它 将 为 每 个 区 域 单 
独 产 生 一 个 Type-1 LSA， 并 且 每 个 LSA 只 描述 接 入 该 区 域 的 接口 。 另 外 ，Type-1l LSA 
中 也 包含 着 一 些 特 殊 的 比特 位 ， 用 于 指示 该 路 由 器 的 特殊 角色 ， 例 如 该 路 由 器 如 果 是 
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ABR、ASBR 或 者 是 Virtual Link 的 端点 , 则 这 些 比特 位 就 会 进行 相应 的 置 位 。 Type-1 LSA 
的 报 文 结构 如 图 3-23 所 示 : 






”。 链 路 状态 老化 时 间 (16bit) | 可 选项 (8bit) | 链 路 状态 类 型 | 













1 + 由 {330 
E20 
”| 链 路 状态 校 验 和 (16bit) 后 志 人 16bity 
ooo0 TJefe] oo | twom 
A ee ed Re We Te 

TOS 
本 


图 3-23 Type-1 LSA 的 报 文 格式 


对 于 Router LSA 而 言 ，LSA 头 部 中 的 “ 链 路 状态 类 型 ”字段 的 值 为 1,“ 链 路 状态 
ID” 字 段 的 值 是 产生 这 个 Type-1LSA 的 路 由 器 的 Router-ID。 

eV 位 (Virtual Link Endpoint Bit): 如 果 该 比特 位 被 设置 为 1, 则 表示 该 路 由 器 为 
Virtual Link 的 如 点。 

e EE 位 (External Bit): 如 果 E 比特 位 被 设置 为 1， 则 表示 该 路 由 堪 为 ASBR。 在 Stub 
区 域 中 , 不 允许 出 现 E 比特 位 被 设置 为 1 的 Type-1 LSA, 因此 Stub 区 域内 不 允许 出 现 ASBR。 

。B 位 (Border Bit): 如 果 B 比特 位 被 设置 为 1!， 则 表示 该 路 由 器 为 两 个 区 域 的 边 
界 路 由 器 ， 字 母 B 意 为 Border (边界 )。 一 台 路 由 器 如 果 同 时 连接 两 个 或 两 个 以 上 的 区 
域 ， 则 其 产生 的 Type-1 LSA 会 将 B 比特 位 设置 为 1， 即使 它 没 有 连接 到 Area0。 

e。 链 路 数量 (Links Number): 该 Type-l LSA 所 描述 的 Link 〈 链 路 ) 数量 。 我 们 已 经 
知道 每 台 路 由 器 都 会 产生 Type-1LSA， 而 且 该 LSA 描述 了 路 由 器 直 连 接口 的 状况 和 Cost 值 ， 
实际 上 路 由 器 正 是 采用 包含 在 Type-1LSA 中 的 Link 来 描述 直 连 接口 的 。“ 链 路 数量 ”字段 指 
明 在 该 Type-1 LSA 中 ， 包 含 了 几 条 Link。 每 条 Link 均 包 含 “ 链 路 类 型 ”“ 链 路 ID ”“ 链 路 数 
据 ” 以 及 “度量 值 ” 这 几 个 关键 信息 。 路 由 器 可 能 会 采用 一 个 或 者 多 个 Link 来 描述 某 个 接口 。 

e。 链 路 类 型 (Link Type): 本 条 Link 的 类 型 值 ， 该 值 与 Link 的 类 型 相关 。 前 面 的 
章节 提 到 OSPF 定义 了 多 种 网 络 类 型 (Network Type): P2P、P2MP、Broadcast 以 及 NBMA， 
当 一 个 接口 激活 OSPF 后 ，OSPF 会 根据 这 个 接口 的 封装 协议 来 判断 接口 运行 在 什么 类 
型 的 网 络 上 。 另 一 方面 , OSPF 在 其 产生 的 Type-1 LSA 中 使 用 Link 来 描述 自己 的 直 连 接 
口 的 状况 ，OSPF 定义 了 多 种 链 路 类 型 ， 这 些 链 路 类 型 与 接口 的 网 络 类 型 也 是 有 关 的 。 
需要 格外 注意 的 是 ，OSPF 的 网 络 类 型 与 链 路 类 型 是 不 同 的 概念 ， 大 家 不 要 搞 混 消 。 表 
3-3 中 罗列 了 OSPF 定义 的 各 种 链 路 类 型 及 对 应 的 链 路 ID 、 链 路 数据 的 描述 。 

















第 3 章 OSPF : 115 


。 链 路 ID (Link ID): Link 的 标识 ， 不同 的 链 路 类 型 ,对 链 路 ID 值 的 定义 是 不 同 的 。 

。 链 路 数据 (Link Data): 不 同 的 链 路 类 型 对 链 路 数据 的 定义 是 不 同 的 。 

e 度量 值 (Metric): Cost 值 。 

表 3-3 各 种 链 路 类 型 及 其 描述 
下 而 
邻居 的 Router-ID | 产生 该 LSA 的 路 由 器 的 接口 IP 地 址 
产生 该 LSA 的 路 由 器 的 接口 PP 地 址 
网 络 掩 友 
邻居 的 RouterID | 产生 该 LSA 的 路 由 器 的 接口 IP 地 址 








六 由于 TOS 及 TOS 度量 值 在 RFC2328 中 不 再 支持 (这 些 字段 被 保留 仅 是 为 了 兼容 
早期 的 OSPF 版 本 ) ， 因 此 虽然 图 3-23 中 显示 了 相关 的 字段 ， 但 是 读者 朋友 们 可 忽略 与 
TOS 相关 的 字段 。 


现在 来 看 图 3-22 所 示 的 例子 。 网 络 中 的 每 台 路 由 器 都 会 产生 Type-1 LSA。 以 R1 为 
例 ， 由 于 它 的 GE0/0/0 及 GE0/0/1 接口 均 已 激活 OSPF， 而 且 这 两 个 接口 都 接 入 了 Area0， 
因此 它 会 产生 一 个 Type-1 LSA， 在 这 个 LSA 中 描述 这 两 个 接口 的 状况 ， 并 在 Area0 内 泛 
潜 该 LSA, 如 图 3-24 所 示 。 R1 的 GE0/0/1 是 一 个 以 太 网 接口 , 并 且 使 用 的 网 段 是 192.168. 
1.0/24, 另外 R1 在 这 个 接口 上 并 没有 建立 OSPF 邻接 关系 , 因此 在 该 Type-1 LSA 中 , OSPF 
描述 这 个 接口 的 Link 的 相关 内 容 是 : 链 路 类 型 =3 (表示 连接 到 一 个 末梢 网 络 )， 链 路 ID= 
192.168.1.0 (该 接口 的 全 地址 所 属 的 网 络 地 址 )， 链 路 数据 =255.255.255.0〔 该 接口 的 网 络 
掩 码 ), 度量 值 =1 (接口 的 Cost 值 )。 另 一 个 接口 GE0/0/0 也 是 一 个 以 太 网 接口 , 使 用 192.168. 
123.0/24 网 段 ， 并 且 通 过 该 接口 ，R1 与 R3 建立 了 邻接 关系 ， 因 此 描述 这 个 接口 的 几 个 关 
键 信 息 是 : 链 路 类 型 =2〈 表 示 连 接 到 一 个 传输 网 络 )， 链 路 ID=192.168.123.3 (DR 的 接口 
IP 地 址 ， 也 即 R3 的 接口 PP 地 址 ), 链 路 数据 =192.168.123.1 (本 接口 IP 地址 )， 度 量 值 =1。 
综 上 ，R1 在 目 己 产生 的 这 个 Type-1 LSA 中 包含 两 个 Link,， 该 LSA 在 整个 Area0 内 泛 洪 。 











链 路 状态 ID=1.1.1.1 
通告 路 由 器 =1.1.1.1 
_ ee 


Wh yDG 
» 






EE 









: GEO/0/1 
:192.168.1.254/24 


GEO/0/0 
192.168.123.1/24 





: 192.168.2.0/24 
: Areal 


Area0 | 


图 3-24 RI 产生 的 Type-I LSA 
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使 用 display ospf lsdb router 命令 可 以 查看 LSDB 中 的 Type-1 LSA， 如 果 在 该 命令 
后 再 增加 originate-router 关键 学 则 可 以 查看 指定 的 OSPF 路 由 堪 产 生 的 Type-1 LSA， 
例如 : 


<R1>display ospf lsdb router originate-router 1.1.1.1 


OSPF Process 1 with Router ID 1.1.1.1 


Area: 0.0.0.0 

Link State Database 
Type : Router 
Ls id Salo 
Advit Jil 
Ls age : 296 
Len :48 
Options : E 
Seq# : 80000013 
chksum :0OxfefO 
Link count: 2 

* Link ID: 192,168.123,3 # 用 于 描述 GE0/0/0 接口 的 Link 


Data :192.168.123.] 

Link Type ; TransNet 

Metric vol 

* Link ID:: 192.168.1.0 # 用 于 描述 GE0/0/1 接口 的 Link- 

Data” 2557255.255.0 

Link Type :StubNet 

Metnc :1 

Priority :Low 

以 上 所 输出 的 就 是 R1 产生 的 Type-1 LSA， 可 以 看 到 其 中 包含 的 两 条 Link。 再 来 看 

看 R3，R3 的 情况 比较 特殊 ， 它 有 两 个 接口 分 别 连 接 到 两 个 区 域 ， 其 中 GE0/0/0 连接 到 
了 Area0, 而 Serial1/0/0 则 连接 了 Areal , 很 显然 它 是 一 台 ABR。 它 将 产生 两 个 Type-LLSA 
(如 图 3-25 所 示 )， 一 个 用 于 在 Area0 内 泛 洪 ， 摘 述 的 是 其 接 入 该 区 域 的 接口 GE0/0/0， 
这 个 Type-1 LSA 中 包含 一 个 用 于 描述 GE0/0/0 接口 的 Link， 其 链 路 类 型 =2 (表示 连接 
到 一 个 传输 网 络 )， 链 路 ID=192.168.123.3， 链 路 数据 =192.168.123.3， 度 量 值 =1;，R3 产 
生 的 另 一 个 Type-1LSA 则 是 在 Areal 内 泛 潜 , 描述 的 是 其 连接 Areal 的 接口 Serial1/0/0。 
Serial1/0/0 接口 的 网 络 类 型 为 P2P， 在 描述 这 种 类 型 的 接口 时 ，OSPF 可 能 会 采用 一 条 或 
多 条 Link。 以 R3 的 Seriall/0/0 接口 为 例 ， 由 于 该 P2P 接口 上 存在 一 个 全 上 毗邻 的 邻居 ， 
因此 OSPF 将 采用 两 个 Link 来 描述 这 个 接口 以 及 与 邻居 的 关系 。 其 中 一 个 Link 的 链 路 
类 型 =1 (表示 点 到 点 连接 到 男 一 人 台 路 由 器 )， 链 路 ID=4.4.4.4〈 该 邻居 的 Router-ID， 也 
就 是 R4 的 Router-ID)， 链 路 数据 =192.168.34.3 (本 接口 IP 地 址 )， 度 量 值 =48; 另 一 个 
Link 的 链 路 类 型 =3 (表示 接 入 一 个 末梢 网 络 )， 链 路 ID=192.168.34.0， 链 路 数据 = 
255.255.255.0， 虐 量 值 =48。 在 这 种 场景 中 ， 为 何 OSPF 需要 两 个 Link 来 描述 一 个 接口 
呢 ? 回顾 一 下 Type-l LSA 的 重要 用 途 帮助 其 他 路 由 器 在 本 地 绘制 出 网 络 的 拓扑 并 
发 现 网 段 信息 。 这 两 个 Link 中 , 前 者 用 于 绘制 拓扑 (接口 Serial1/0/0 对 端的 路 由 器 是 谁 ? 
设备 的 接口 卫 地 址 是 什么 ?” )， 后 者 用 于 描述 这 段 链 路 的 网 段 信 息 〈 这 段 链 路 的 网 络 地 
址 及 网 络 掩 码 )。 
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po 链 路 状态 ID=3.3.3.3 
pe OT 通告 路 由 器 二. 入 名 + 


链 路 数量 =1 i 
Link1( 描 述 GE0/0/0) | ; 
192.168.123.3/24 :: 192.168.34.3/24 

GE0/0/0 ge, Serial1/0/0 





: 192.168.1.0/24 













Serial1/0/0 
192.168.34.4/24 


: 192.168.2.0/24 A ad | APea 


于 


<R3>display ospf lsdb router originate-router 避 3 本 人 


OSPF Process 1 with Router ID 3,3,3.3 
Area: 0.0.0.0 
Link State Database 


Type ; Router 
Lsid ni ss We 
A | 
Ls age :477 


Len i136 
Onions "NABR “BB 
Seq# : 80000015 


chksum :0x63 锯 
Link count: 1 
* Link HD 192.168.123.3 
Data :192,168.123.3 
.Link Type : TransNet 
Metric :1 


Area: 0.0.0.1 
Link State Database 


Type : Router 
Lsid a Wc le Pk 
Advrtr IT ;3.3 
Lsage : 602 
Len :48 
Optiong u's: WBK "SB 
Seq# : 80000002 
chksum :0x2878 
Link count: 2 # 这 两 个 Link 都 是 用 于 描述 Seriall/0/0 接口 
* Link ID: 4.4.4.4 
Data :192.168.34.3 
Link Type: P-2-P 
Metric : 48 
* Link ID : 192.168.34.0 
atia :59255243.0 
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Link Type :StubNet 
Metric : 48 
Priority: Low 

关于 OSPF 还 有 一 个 特别 有 意思 的 事情 ， 那 就 是 对 Loopback 接口 的 处 理 。 假 设 我 们 
为 路 由 器 创建 了 一 个 Loopback 接口 ， 并 且 为 它 分 配 192.168.200.11/24 的 卫 地址， 然后 
在 这 个 接口 上 激活 OSPF， 那 么 路 由 器 将 在 其 产生 的 Type-1 LSA 中 摘 述 这 个 接口 。 在 摘 
述 该 接口 时 ，OSPF 采用 的 链 路 类 型 为 3〈 接 入 一 个 末梢 网 络 )， 链 路 ID 为 该 接口 的 IP 
地 址 (192.168.200.11)， 链 路 数据 则 设置 为 全 F， 表 示 撼 码 为 255.255.255.255 (/32) 一 一 
尽管 该 Loopback 接口 的 真实 掩 码 为 255.255.255.0 〈/24)， 另 外 度量 值 缺 省 为 0。 因此 区 
域 中 的 其 他 OSPF 路 由 器 在 基于 该 LSA 计算 路 由 时 ， 关 于 这 个 Loopback 接口 便 会 计算 
出 一 条 /32 的 主机 路 由 ， 这 就 是 为 什么 在 OSPF 的 实现 中 ， 无 论 网 络 管理 员 为 Loopback 
接口 分 配 什么 网 络 掩 码 ， 在 其 他 设备 的 路 由 表 中 ， 关 于 该 接口 始终 得 到 一 条 主机 路 由 。 
要 想 将 路 由 的 掩 码 恢复 成 Loopback 接口 的 真实 掩 码 ， 可 以 将 该 Loopback 接口 的 OSPF 
网 络 类 型 修改 为 Broadcast (或 NBMA )。 

2. Type-2 LSA 

经 过 Type-1 LSA 的 泛 洪 ,区 域内 的 路 由 器 已 经 能 够 大 致 地 描述 出 本 区 域内 的 网 络 拓 
扑 , 但 是 ， 要 想 完 整地 描述 区 域内 的 网 络 拓扑 结构 及 网 段 信 息 ， 光 有 Type-1 LSA 是 不 够 
的 ， 留 意 到 如 果 路 由 器 的 接口 接 入 一 个 MA 网 络 并 且 在 该 网 络 上 存在 形成 了 邻接 关系 的 
邻居 ， 则 用 于 描述 该 接口 的 Link 的 链 路 类 型 为 2， 链 路 ID 为 DR 的 接口 IP 地 址 ， 而 链 
路 数据 为 本 路 由 器 接口 的 IP 地址 ,但 是 这 个 MA 网 络 的 掩 码 呢 ? 有 多 少 路 由 器 连接 在 这 
个 MA 网 络 上 呢 ? 这些 信息 暂时 还 是 未 知 的 (至 少 通 过 Type-1 LSA 还 无 法 知晓 )。 因 此 
就 需要 用 到 Type-2 LSA 了 。 

在 MA 网 络 中 ，OSPF 会 选举 DR 及 BDR， 所 有 的 DROther 路 由 器 都 只 能 和 DR 及 
BDR 建立 邻接 关系 ，DROther 路 由 器 之 间 不 会 建立 全 了 毗邻 的 OSPF 邻接 关系 。DR 会 在 
本 区 域内 泛 洪 Type-2 LSA， 来 列举 出 接 入 该 MA 网 络 的 所 有 路 由 器 的 Router-ID (其 中 
包括 DR 自身 )， 以 及 这 个 网 络 的 掩 码 。 因 此 Type-2 LSA 仅 存 在 于 拥有 MA 网 络 的 区 域 
中 ， 该 LSA 由 DR 产生 。Type-2 LSA 的 格式 如 图 3-26 所 示 。 












链 路 状态 老化 时 间 (16bit) 链 路 状态 类 型 =2 


，” ”和 链 路 状态 ID(32bit) 


” 通告 路 由 器 (32bit) 
ye 链 路 状态 序列 号 (32bit) i 


相连 的 路 由 器 的 Router-ID(32bit) 


图 3-26 Type-2 LSA 的 报 文 格式 
在 Type-2 LSA 中 ，LSA 头 部 中 “ 链 路 状态 类 型 ”字段 的 值 为 2,“ 链 路 状态 ID” 字 
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段 的 值 为 产生 这 个 Type-2 LSA 的 DR 的 接口 IP 地 址 。 

e 网 络 掩 码 (Network Mask): 该 MA 网 络 的 网 络 掩 人 码 。 

。 相连 的 路 由 器 (Attached Router) 的 Router-ID: 连接 到 该 MA 网 络 的 路 由 器 的 
Router-ID (与 该 DR 建立 了 邻接 关系 的 邻居 的 Router-ID， 以 及 DR 目 己 的 Router-ID)， 
如 果 有 多 台 路 由 器 接 入 该 MA 网 络 ， 则 使 用 多 个 字段 描述 。 

回 到 本 小 节 的 例子 ，R1、R2 及 R3 三 台 路 由 器 的 GE0/0/0 接口 都 接 入 同一 台 以 太 网 
二 层 交 换 机 , 另外 它们 的 接口 IP 地 址 均 属于 相同 网 段 一 一 这 三 个 接口 处 于 同一 个 MA 网 
络 ，DR、BDR 的 选举 过 程 将 会 在 这 里 发 生 ， 最 终 由 于 R3 的 GE0/0/0 接口 的 DR 优先 级 
被 人 为 调 高 ， 因 此 它 胜 出 成 为 这 个 MA 网 络 的 DR。 如 此 一 来 ， 它 将 在 Area0 内 泛 洪 一 
个 Type-2 LSA, 在 该 LSA 中 将 包含 R1、R2 及 R3 三 台 路 由 器 的 Router-ID， 另 外 该 LSA 
还 会 描述 这 个 MA 网 络 的 掩 码 : 255.255.255.0， 如 图 3-27 所 示 。 


上 和 


192.168.1.0/24 





192.168.2.0/24 





Area0 | 





Areal 


TT 


在 R3 上 使 用 display ospf lsdb network 命令 可 以 查看 到 网 络 中 泛 洪 的 Type-2 LSA: 
<R3>display ospf lsdb network 


OSPF Process 1 with Router ID 3.3.3.3 


Area: 0.0.0.0 
Link State Database 
Type :Network 
Lsid : 192.168.123.3 


Advrtr - :3.3.3.3 
Ls age :1038 


Len :36 
Options :E 
seq# : 80000009 


chksum :0Oxle24 
Netmask :255.255.255.0 
Priority :Low 
Attached Router 3 
Attached Router Led. 
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Attached Router pape 
Area: 0.0.0.1 
Link State Database 


Areal 内 没有 MA 网 络 ， 因 此 不 存在 Type-2 LSA。 

得 益 于 Type-1、Type-2 LSA 在 区 域内 的 泛 洪 ，OSPF 就 能 够 描绘 出 一 个 区 域内 的 完 
整 拓扑 《详细 到 设备 每 个 接口 的 Cost) 并 发 现 各 个 网 段 的 信息 (网 络 地 址 及 网 络 掩 人 码 )。 
一 个 区 域内 的 所 有 路 由 器 关于 该 区 域 的 LSDB 是 完全 一 致 的 ， 只 有 这 样 ， 这 些 路 由 器 才 
能 准确 地 计算 出 到 达 区 域内 各 个 网 段 的 路 由 。 路 由 器 将 目 己 基于 某 个 直 连 区 域内 汉 洪 的 
Type-1 及 Type-2 LSA 计算 得 到 的 路 由 视 为 区 域内 部 路 由 (Intra-Area Route)。 

在 本 例 中 ，R3 是 一 台 ABR， 它 有 两 个 接口 分 别 连接 Area0 及 Areal， 因 此 它 分 别 维 
护 着 这 两 个 区 域 的 LSDB， 这 有 助 于 它 构 建 如 图 3-28 所 示 的 网 络 拓 扑 。 接 下 来 ，R3 将 
以 自己 为 根 ， 运 行 SPF 算法 并 最 终 获 得 到 达 各 个 网 段 的 最 短路 径 ， 如 图 3-29 所 示 。 


192.168.34.0/24 









192.168.1.0/24 





®@ 路 由 器 [加 网 段 信息 


3-29 以 R3 为 根 的 最 短路 径 树 


与 R3 不 同 ,R1 及 R2 是 区 域内 部 路 由 器 ,它们 只 能 根据 区 域内 泛 洪 的 Type-1、Type-2 
LSA 计算 出 到 达 Area0 内 各 网 段 的 路 由 ， 而 到 达 Area0 之 外 的 路 由 ， 例 如 到 达 
192.168.34.0/24 网 段 的 路 由 ， 目 前 它们 暂时 是 无 法 知晓 的 。 要 实现 区 域 间 路 由 的 传递 ， 
就 必须 借助 Type-3 LSA。 

3. Type-3 LSA 

前 两 类 LSA 解决 了 区 域内 路 由 计算 的 问题 , 那么 区 域 间 路 由 的 计算 呢 ? 显然 当 一 个 
OSPF 网 络 中 存在 多 个 区 域 时 , 单 任 Type-l 及 Type-2 LSA 仅 能 解决 单个 区 域内 的 路 由 计 
算 问 题 ， 但 是 区 域 之 间 的 路 由 传递 目前 依然 有 竺 解决 ， 因 为 Type-1l 及 Type-2 LSA 只 能 
在 始 发 区 域内 泛 洪 , 无 法 被 泛 洪 到 区 域 之 外 。Type-3 LSA 也 就 是 网 络 汇 总 LSA (Network 
Summary LSA)， 这 里 的 “汇总 ”二 学 ， 其 实 理解 为 “归纳 ”更 为 贴切 ， 它 和 路 由 汇总 
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是 完全 不 同 的 概念 。Type-3 LSA 是 由 ABR 产生 的 ， 用 于 解决 区 域 之 间 的 路 由 传递 问题 。 
由 于 ABR 同时 连接 着 非 骨干 区 域 以 及 Area0, 因此 它 分 别 为 这 些 区 域 维护 着 LSDB 并 且 
计算 出 到 达 直 连 区 域 的 区 域内 部 路 由 ， 它 同 某 个 区 域 注 入 Type-3 LSA， 以 便 问 该 区 域 通 
告 到 达 其 他 区 域 的 区 域 间 路 由 。Type-3 LSA 的 格式 如 图 3-30 所 示 。 


: i G2bi0 


Www TY Go i 
名 路 状态 校 验 和 (16biD nn , 长 度 (16biD) 一 


i 


图 3-30 Type-3 LSA 的 报 文 格式 





在 Type-3 LSA 中 ,“ 链 路 状态 了 ”字段 的 值 为 区 域 间 路 由 的 目的 网 络 地 址 ， 其 他 字 
段 及 其 含义 如 下 。 | 

。 网 络 掩 码 (Netmask): 区 域 间 路 由 的 目的 网 络 掩 码 。 

e。 度量 值 (Metric): 路 由 的 Cost。 





LE 由 于 TOS 及 TOS 度量 值 在 RFC2328 中 不 再 支持 (这 些 字段 被 保留 仅 是 为 了 兼容 
早期 的 OSPF 版 本 )， 因 此 读者 朋友 们 可 忽略 与 TOS 相关 的 字段 。 


在 本 小 节 引 用 的 例子 中 ，R3 通过 Area0 及 Areal 内 泛 洪 的 Type-1、Type-2 LSA 已 
经 能 够 分 别 计算 出 到 达 Area0 及 Areal 内 各 网 段 的 区 域内 部 路 由 。 现 在 它 会 为 这 些 区 域 
内 的 路 由 产生 Type-3 LSA， 并 且 将 其 注入 另 一 个 区 域 中 。 如 图 3-31 所 示 ， 它 将 描述 到 
达 Areal 内 192.168.34.0/24 网 段 的 路 由 的 Type-3 LSA 注入 Area0， 在 这 个 Type-3 LSA 
中 ， 链 路 状态 ID 为 该 路 由 的 目的 网 络 地 址 192.168.34.0， 网 络 掩 码 为 255.255.255.0， 通 
告 路 由 器 自然 是 该 ABR (R3) 的 Router-ID， 另 外 这 条 路 由 的 Cost 为 48， 实 际 上 这 个 
Cost 是 R3 自己 到 达 目 的 网 段 的 路 径 Cost， 在 这 个 拓扑 中 就 是 R3 的 Serial1/0/0 接口 的 
Cost。 

在 收 到 这 个 Type-3 LSA 后 ，R1 及 R2 就 能 够 计算 到 达 192.168.34.0/24 网 段 的 区 域 
间 路 由 ， 并 且 该 区 域 间 路 由 的 Cost 为 49〈( 也 即 48+1， 其 中 1 就 是 它们 的 GE0/0/0 接口 
的 Cost， 也 就 是 说 它们 到 达 目 标 网 段 的 路 径 Cost， 是 在 R3 所 通告 的 Cost 的 基础 上 ， 加 
上 自己 到 达 R3 的 Cost)。 

男 一 方面 ，R3 也 会 将 摘 述 到 达 Area0 内 三 个 网 段 (192.168.1.0/24、192.168.2.0/24 
及 192.168.123.0/24) 的 路 由 的 Type-3 LSA 注入 Areal， 如 图 3-32 所 示 。 这 样 一 来 ，R 
就 能 够 学 习 到 这 三 条 区 域 间 路 由 。 
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图 3-31 R3 问 Area0 内 注入 Type-3 LSA， 用 于 摘 述 到 达 Areal 内 各 网 段 的 区 域 间 路 由 


TT TT pe 网 络 掩 码 =255.255.255.0 
\ ~ :| 通告 路 由 器 =3.3.3.3 
OR : LE 













链 路 状态 ID=192.168.2.0 
网 络 掩 码 =255.255.255.0 
通告 路 由 器 =3.3.3.3 


NN 
外 部 网 络 


Cost=2 










192.168.2.0/24 





ID=192.168.123.0 


网 络 掩 码 =255.255.255.0 
通告 路 由 器 =3,3.3.3 


Cost=1 


图 3-32 R3 加 Areal 内 注入 Type-3 LSA， 用 于 描述 到 达 Area0 内 各 网 段 的 区 域 间 路 由 


1 
于 i Ps Rm CP pw 





在 R3 上 执行 display ospf lsdb summary 命令 , 可 以 查看 其 LSDB 中 的 Type-3 LSA: 


i 


<R3>display ospf lsdb summary , 


OSPF Process 1 with Router ID 3.3.3.3 


Area: 0.0.0.0 
Link State Database 
Type : Sum-Net AN 
Lsid : 192.168.34.0 


Adv rtr 中信 
Ls age :1370 
Len :8 
Options bh 
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Seq# : 80000001 
chksum : Oxc9cb 
Netmask :255.255.255.0 
Tos 0 metric: 48 


Priority : Low 
Area: 0.0.0.1 

Link State Database . 
Type : Sum-Net 
Ls id : 192.168.123.0 
Adv rtr seb 
Ls age ?让 二 7 村 
Len : 28 
Options A 
Seq# : 80000001 


chksum : Ox1b50 
Netmask :255.255.255.0 
Tos0 metric: 1 

Priority : Low 


Type : Sum-Net 
Ls id : 192.168.2.0 
Advrtr 和 
Ls age 71335 
Len :28 
Options :二 时 
Seq# :80000001 


chksum :OQx5d86 
Netmask :255.255.255.0 
Tos0 metric:2 

Priority : Low 


Type : Sum-Net 
—Ls id : 192.168.1.0 

Adv rtr 3333 

Ls age : 1334 

Len :28 

Options 2 

Seq# : 80000001 


chksum : OQx687c 

Netmask :255.255.255.0 

Tos0 metric: 2 

Prionity :Low 

接 下 来 , 本 书 将 从 宏观 的 层面 进一步 探讨 Type-3 LSA 的 泛 洪 过 程 。 首先 临时 性 地 将 

本 小 市 的 演示 拓扑 做 一 点 小 小 的 变更 (该 变更 仅 用 于 讲解 Type-3 LSA, 如 图 3-33 所 示 ): 
新 增 路 由 器 R5，R5 分 别 与 R1 及 R2 直 连 ， 直 连 网 段 分 别 为 192.168.1.0/24 及 192.168. 
2.0/24， 并 且 接 口 都 处 于 Area2 中 ， 拓 扑 中 的 其 他 内 容 不 变 。 






简单 起 见 ， 图 中 的 互联 链 路 被 忽略 掉 了 ， 仅 保留 网 段 信 息 。 
以 从 左 到 右 的 视角 来 分 析 ，R1 及 R2 作为 ABR, 它们 都 会 为 Area0 注入 两 条 Type-3 
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LSA， 分 别 用 于 描述 到 达 Area2 内 192.168.1.0/24 及 192.168.2.0/24 网 段 的 路 由 。 这 样 R3 
便 能 根据 这 些 Type-3 LSA 计算 出 到 达 这 两 个 网 段 的 区 域 间 路 由 。 再 看 看 关于 区 域 间 路 由 
的 Cost 值 问 题 ， 以 R1 为 例 ， 它 同 Area0 中 所 泛 洪 的 这 两 条 Type-3 LSA， 会 分 别 附加 上 
它 目 己 到 达 这 两 个 网 段 的 Cost，R3 收 到 这 两 条 Type-3 LSA 后 即 可 进行 区 域 间 路 由 计 
算 一 一 它 到 这 两 个 目标 网 段 的 Cost， 是 在 R1 所 通告 的 Cost 值 的 基础 上 ， 加 上 自己 到 
Rl 的 Cost。R3 通过 查询 路 由 表 获 得 目 己 到 R1 的 Cost (实际 上 这 个 Cost 值 的 计算 得 益 
于 Area0 中 泛 洪 的 Type-1 及 Te LSAY. 


Re ehh he eh hse OE hohe es ec El sh Dh he Reb Ee De he hd hd dt a 





A i 
\ OH & + 
i 192.168.123.0/24 2 192.168.34.0/24 @3 
168 i R3 R4 
“© 
R2 
Area2 : Area0 Areal 


Pa . 
EE 


图 3-33 ”Type-3 LSA 的 泛 洪 





“在 一 个 区 域 中 泛 洪 的 Type-3 LSA 描述 的 是 到 达 该 区 域 之 外 、 但 仍 属 于 OSPF 域 
内 的 网 段 的 路 由 ， 并 且 Type-3 LSA 只 能 在 一 个 区 域内 泛 洪 。 因 此 Rl 及 R2 注入 Area0 
的 Type-3 LSA 只 能 在 Area0 中 泛 洪 ,不 能 直接 进入 Areal。R3 会 重新 向 Areal 中 注入 
Type-3 LSA， 用 于 描述 到 达 相 应 网 段 的 区 域 间 路 由 。 


再 看 看 R3， 它 会 产生 三 条 Type-3 LSA 注入 Areal， 这 三 条 Type-3 LSA 分 别 用 于 描 
述 到 达 Area0 中 192.168.123.0/24 网 段 的 路 由 ， 以 及 到 达 Area2 中 192.168.1.0/24 和 
192.168.2.0/24 网 段 的 路 由 。 这 三 条 Type-3 LSA 中 也 都 携带 着 R3 自己 到 达 相 应 网 段 的 
Cost。R4 会 收 到 这 些 Type-3 LSA 并 计算 区 域 间 路 由 ， 而 它 到 这 三 个 目标 网 段 的 Cost， 
就 等 于 R3 所 通告 的 Cost 值 加 上 自己 到 R3 的 Cost。 

讲 到 现在 ， 您 可 能 已 经 发 现 了 一 些 端倪 : OSPF 区 域 间 路 由 的 传播 过 程 与 距离 矢量 
路 由 协议 的 路 由 传播 过 程 非常 相似 。 大 家 已 经 知道 ， 距 离 和 撩 量 路 由 协议 基于 “传闻 ”的 
路 由 更 新 行为 非常 容易 引发 路 由 环 路 ， 显 然 ， 对 于 区 域 间 路 由 的 传递 ，OSPF 也 需要 一 
定 的 防 环 机 制 |。 

首先 , OSPF 要 求 区 域 间 路 由 必须 通过 Area0 中 转 , 这 使 得 OSPF 网 络 在 逻辑 上 构成 
一 个 以 Area0 为 中 心 、 其 他 区 域 为 分 文 的 星 型 逻辑 结构 ， 这 在 很 大 程度 上 减 小 了 环 路 出 
现 的 可 能 。 当 然 ， 这 也 形成 了 OSPF 区 域 设计 的 一 条 规 朱 一 一 所 有 的 非 骨 干 区 域 必 须 与 
骨干 区 域 Area0 直接 相连 。 

另外 , OSPF 要 求 ABR 只 能 将 自己 到 达 所 连接 区 域 的 区 域内 部 路 由 通告 给 Area0( 区 
域 则 路 由 则 不 被 允许 ), 另外 , 可 以 将 其 到 达 所 连接 区 域 的 区 域内 部 路 由 及 到 达 其 他 区 域 
的 区 域 间 路 由 通告 给 非 骨 干 区 域 。 以 图 3-33 显示 的 网 络 为 例 , 对 于 R3 而 言 ， 到 达 Area0 
中 的 192.168.123.0/24 网 段 的 路 由 便 是 区 域内 路 由 ， 而 到 达 Area2 中 的 192.168.1.0/24 及 
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192.168.2.0/24 网 段 的 这 两 条 路 由 则 是 区 域 间 路 由 ，R3 会 将 这 三 条 路 由 都 通告 到 Areal 
( 非 骨 干 区 域 ) 中 ， 当 然 ,， 它 是 通过 癌 该 区 域 注 入 Type-3 LSA 来 实现 上 述 目 的 的 。 现 在 ， 
假设 R4 增加 一 条 与 R2 直 连 的 链 路 并 通过 该 链 路 与 R2 建立 了 邻接 关系 ， 而 且 该 链 路 属 
于 Area0， 如 此 一 来 R4 也 就 成 为 了 一 台 ABR， 则 R4 能 够 将 到 达 直 连 区 域 Areal 中 
192.168.34.0/24 网 段 的 路 由 通告 给 Area0, 但 是 却 不 能 将 其 在 Aieal 学 习 到 的 区 域 间 路 由 
192.168.1.0/24、192.168.2.0/24 以 及 192.168.123.0/24 通告 给 Area0 (给 R2)， 因 为 这 些 路 
由 正 是 通告 自 Area0 的 ， 如 果 这 些 路 由 被 通告 给 Area0， 则 可 能 引 发 路 由 环 路 。 

4. Type-4 LSA 

利用 Type-1、Type-2 LSA，OSPF 路 由 器 能 够 完成 区 域内 部 网 络 拓扑 的 绘制 并 发 现 
区 域内 的 网 段 信 息 ， 因 此 依赖 这 两 种 LSA， 单 个 区 域内 的 路 由 计算 是 没有 问题 的 。 而 得 
益 于 Type-3 LSA 的 泛 洪 ， 区 域 间 的 路 由 传递 也 可 以 顺利 实现 。 因 此 ，Type-1、Type-2 及 
Type-3 LSA 这 三 类 LSA 解决 了 单个 OSPF 域内 的 路 由 计算 问题 。 

现在 来 看 看 当 外 部 路 由 被 引入 OSPF 域 后 ，OSPF 如 何 实现 路 由 计算 。 首 先 ， 不 妨 
通过 一 个 例子 来 帮助 大 家 理解 外 部 路 由 的 引入 过 程 ， 假 设 有 这 么 一 座 城 ， 它 被 划分 成 了 
多 个 行政 区 ， 这 座 城 市 与 外 界 完全 隔绝 ， 被 封闭 了 起 来 ， 外 面 的 信息 进 不 来 ， 里 头 的 消 
县 也 出 不 去 。 有 一 天 ， 这 座 城市 在 某 个 行政 区 开局 了 一 个 城 门 ， 这 个 城 门 成 了 城内 居民 
去 往 城 外 的 一 个 出 口 。 现 在 ， 关 于 城 外 各 种 新 奇 事 物 的 摘 绘 经 过 这 座 城 门 被 城内 各 个 行 
政 区 的 千家 万 户 知 晓 了 ， 大 家 都 知道 原来 外 面 还 有 这 么 多 好 玩 儿 的 地 方 。 现 在 大 家 想 要 
出 城 旅 游 了 ， 目 的 地 自然 是 这 些 城 外 的 景点 ， 但 是 要 出 城 ， 就 必须 从 城 门 走 ， 那 么 大 家 
就 需要 知道 城 门 的 所 在 。 与 城 门 同属 一 个 行政 区 的 居民 能 和 直接 了 解 到 城 门 的 具体 位 置 ， 
这 是 因为 同一 个 行政 区 内 ， 所 有 的 信息 都 是 公开 透明 的 。 然 而 与 城 门 不 在 同一 个 行政 区 
的 居民 可 就 不 知道 城 门 的 位 置 了 ， 不 知道 城 门 的 位 置 ， 目 然 就 无 法 经 过 城 门 到 达 外 面 的 
世界 。 因 此 行政 区 的 枢纽 会 将 城 门 的 信息 通告 给 其 他 行政 区 ， 使 得 与 城 门 不 在 同一 个 区 
的 居民 能 够 知晓 到 达 城 门 的 路 径 ， 最 终 ， 整 个 城市 的 居民 都 能 够 出 城 旅游 了 。 

对 应 到 OSPF 的 相关 概念 ， 上 和 面 所 准 的 例子 中 ， 这 座 城 市 就 是 OSPF 域 ， 城 市 的 行 
政 区 也 就 是 OSPF 区 域 ， 而 城 门 则 是 ASBR (Autonomous System Boundary Router， 自 治 
系统 边界 路 由 器 ), ASBR 将 域外 的 路 由 (例如 RIP 路由、 静态 路 由 等 ) 引入 OSPF, OSPF 
使 用 Type-5 LSA 描述 这 些 外 部 路 由 ，Type-5 LSA 能 够 在 整个 OSPF 域内 泛 洪 (除了 一 
些 特殊 的 区 域 ), 这 样 所 有 的 路 由 器 都 能 知晓 这 些 到 达 外 部 的 路 由 , 但 是 光 获 知 到 达 外 部 
网 络 的 路 由 还 是 不 够 的 ， 还 需要 知道 引入 这 些 外 部 路 由 的 ASBR 的 所 在 。 与 ASBR 同属 
一 个 区 域 路 由 器 能 够 通过 区 域内 泛 洪 的 Type-1、Type-2 LSA 计算 出 到 达 ASBR 的 路 由 ， 
然而 这 两 种 LSA 只 能 在 本 区 域内 泛 洪 ， 那 么 其 他 区 域 的 路 由 器 如 何 知道 到 达 该 ASBR 
的 路 径 ? 这 就 需要 用 到 Type-4 LSA 了 。Type-4 LSA 被 称 为 ASBR 汇总 LSA (ASBR 
Summary LSA)， 由 ABR 产生 ， 实 际 上 是 一 条 到 达 ASBR 的 主机 路 由 。Type-4 LSA 的 格 
式 与 Type-3 LSA 是 一 致 的 。 在 Type-4 LSA 中 ,“ 链 路 状态 ID ”字段 的 值 是 ASBR 的 
Router-ID， 而 且 “ 网 络 掩 码 ”字段 的 值 为 全 0， 另 外 ,“ 度 量 值 ” 字 段 填写 的 是 该 ABR 
自己 到 达 ASBR 的 Cost 值 。 

如 图 3-34 所 示 ,R4 作为 ASBR 将 外 部 路 由 10.0.0.0/8 引入 了 OSPF 域 .R4 产生 Type-5 
LSA 描述 这 条 外 部 路 由 。R3 由 于 和 R4 同属 一 个 区 域 ， 因 此 和 它 能 直接 通过 Areal 内 泛 潜 
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的 Type-l LSA 计算 出 从 区 域内 到 达 ASBR R4 的 最 佳 路 径 。 一 旦 我 们 在 R4 上 执行 
import-route 命令 (该 命令 用 于 将 外 部 路 由 引入 OSPF), R4 便 会 在 其 产生 的 Type-1 LSA 
中 将 EE 比特 位 设置 为 1， 用 于 宣告 自己 的 ASBR 的 身份 。 然 而 对 于 Area0 内 的 RI 及 R2 
而 言 ， 它 们 虽然 能 够 通过 Type-5 LSA 知晓 10.0.0.0/8 这 个 外 部 网 络 ， 但 是 却 无 法 进行 路 
由 计算 , 因为 它们 并 不 知道 如 何 到 达 ASBR (R4 产生 的 Type-1 LSA 只 在 Areal 内 泛 洪 )。 
因此 ，R3 作为 与 ASBR 同属 一 个 区 域 的 ABR, 会 产生 描述 该 ASBR 的 Type-4 LSA 并 在 
Area0 内 泛 洪 ， 从 而 Area0 内 的 Rl 及 R2 便 能 够 计算 出 到 达 10.0.0.0/8 的 外 部 路 由 并 将 其 加 
载 到 路 由 表 。 在 R1 上 执行 display ospf lsdb asbr 命令 ， 可 看 到 其 LSDB 中 的 Type-4 LSA: 
<R1>display ospf lsdb asbr 


OSPF Process 1 with Router ID 1.1.1.1 


Area: 0.0.0.0 

Link State Database 
Type : Sum-Asbr 
Ls id :4.4.4.4 
Advrtr :3.3.3.3 
Lsage :22 
Len : 28 
Options :EE 
Seq# : 80000001 


chksum ”: 0x2ce3 
Tos0 metric :48 












外 部 路 由 引入 


ee ) 
10.0.0.0/8 


Areal Areal 


图 3-34 R3 作为 ABR 回 Area0 内 注入 Type-4 LSA 


以 上 输出 的 就 是 R3 所 产生 的 Type-4 LSA。 实 际 上 ，Type-4 LSA 的 最 主要 的 作用 ， 
是 为 了 帮助 那些 与 ASBR 不 在 同一 个 区 域 的 路 由 器 计算 出 到 达 ASBR 的 路 由 , 值得 注意 
的 是 ， 这 些 路 由 器 并 不 将 通过 Type-4 LSA 计算 出 来 的 到 达 ASBR 的 路 由 加 载 到 全 局 路 
由 表 中 ， 而 只 是 存放 在 一 个 特殊 的 数据 表 里 。 在 路 由 器 上 使 用 display ospf abr-asbr 命 

令 可 以 看 到 路 由 器 发 现 的 ABR 及 ASBR。 在 Rl1 上 执行 该 命令 ， 可 看 到 如 下 输出 : 


[R1 ldisplay ospf abr-asbr 


OSPF Process 1 with Router ID 1.1.1.1 
Routing Table to ABR and ASBR 
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RtType Destination Area Cost Nexthop Type 
Intra-area 3.3.33 0.0.0.0 1 192.168.123.3 ”ABR 
Inter-area 4.4.4.4 0.0.0.0 49 192.168.123.3 ASBR 


5. Type-5 LSA (AS External LSA ) 

通过 前 文 的 描述 我 们 已 经 知道 ， 当 ASBR 将 外 部 路 由 引入 \OSPF 时 ， 会 产生 Type-5 
LSA 用 于 描述 这 些 外 部 路 由 ,这 种 类 型 的 LSA 一旦 被 产生 后 , 会 在 整个 OSPF 域内 传播 
(除了 一 些 特殊 区 域 )。Type-5 LSA 也 就 是 AS 外 部 LSA (AS External LSA)。 图 3-35 显 
示 了 Type-5 LSA 的 报 文 格式 。 


一 “” 链 路 状态 老化 时 间 (16bib) 





mo 1 Ww, 












NN N 转 路 状态 DC3zbity 





”通告 路 由 器 (32bit) 






















闫 太极 





lo EA 和, 
he -= AW 













转发 地 址 (32bit) 


外 部 路 由 记 (32bit) 


图 3-35 ”Type-5 LSA 的 报 文 格式 


对 于 Type-5 LSA,“ 链 路 状态 ID” 了 字段 的 值 是 外 部 路 由 的 目的 网 络 地 址 。 其 他 主要 
字段 的 摘 述 如 下 。 

e 网 络 掩 码 (Netmask): 外 部 路 由 的 目的 网 络 掩 码 。 

e EE 位; 用 于 表示 该 外 部 路 由 使 用 的 度量 值 类 型 。OSPF 定义 了 两 种 外 部 路 由 度量 值 
类 型 ， 分 别 是 Metric-Type-1 和 Metric-Type-2。 如 果 该 比特 位 被 设置 为 1， 则 表示 外 部 路 由 
使 用 的 度量 值 类 型 为 Metric-Type-2， 如 果 该 比特 位 被 设置 为 0， 则 表示 外 部 路 由 使 用 的 
度量 值 类 型 为 Metric-Type-1。 关 于 这 两 种 度量 值 类 型 的 区 别 , 本 书 将 在 下 文中 详细 阐述 。 

e。 度量 值 (Metric): 该 外 部 路 由 的 Cost。 

。 转发 地 址 (Forwarding Address，FA): 当 FA 为 0.0.0.0 时 ， 则 到 达 该 外 部 网 段 
的 流量 会 被 发 往 引 入 这 条 外 部 路 由 的 ASBR。 而 如 果 FA 不 为 0.0.0.0， 则 流量 会 被 发 往 
这 个 转发 地 址 。FA 这 一 概念 的 引入 ， 使 得 OSPF 在 某 些 特殊 的 场景 中 得 以 规避 次 优 路 径 
问题 。 关 于 FA 将 在 后 续 的 小 节 中 继续 讨论 。 

e 外 部 路 由 标记 〈External Route Tag): 这 是 一 个 只 有 外 部 路 由 才能 够 携带 的 标记 ， 
常 被 用 于 部 闭路 由 策略 。 举 个 例子 ， 假 设 我 们 在 OSPF 域外 有 两 种 业务 : 办 公 及 生产 ， 
现在 ASBR 把 这 两 种 业务 各 自 的 路 由 都 引入 OSPF, 用 于 描述 这 些 外 部 路 由 的 Type-5 LSA 
将 在 整个 OSPF 域内 传播 ， 现 在 如 果 需 要 在 域内 某 个 位 置 部 署 路 由 策略 ， 分 别 对 这 些 办 
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公 及 生产 的 路 由 执行 不 同 的 策略 ， 那 么 首先 就 要 区 分 这 些 路 由 ， 如 果 单 纯 通 过 路 由 的 目 
的 网 络 地 址 及 网 络 掩 码 进行 区 分 显然 是 不 够 便捷 的 。 而 如 果 在 ASBR 上 引入 这 些 外 部 路 
由 时 ， 束 分 列 为 生产 及 办 公路 由 打上 相应 的 标记 ， 那 么 在 域内 执行 策略 的 时 候 就 可 以 直 
接 对 相应 的 标记 进行 路 由 匹配 ， 从 而 使 得 路 由 策略 的 部 闭 更 加 方便 。 在 华为 的 路 由 器 上 ， 
缺 省 时 该 字段 值 被 设置 为 1。 






TY 由 于 TOS 及 TOS 度量 值 在 RFC2328 中 不 再 支持 (这 些 字段 被 保留 仅 是 为 了 兼容 
早期 的 OSPF 版 本 )， 因 此 读者 朋友 们 可 和 忽略 与 TOS 相关 的 字段 。 

在 ASBR 将 外 部 路 由 引入 OSPF 时 , 可 以 指定 路 由 的 外 部 Cost 值 , 以 及 度量 值 类 型 。 
接 下 来 继续 看 本 节 开 始 时 提 到 的 例子 。R4 将 外 部 路 由 10.0.0.0/8 引入 了 OSPF， 图 3-36 
描述 了 这 个 LSA 大 概 的 样子 ,这 个 LSA 将 在 整个 OSPF 域内 泛 洪 。 使 用 display ospf lsdb 
ase 命令 能 够 查看 到 网 络 中 泛 洪 的 Type-5 LSA: 


<R1l>display ospf lsdb ase 


OSPF Process 1 with Router ID 1.1.1.1 3 


Link State Database 
Type : External 
Lsid : 10.0.0.0 
Adv rtr : 4.4.4.4 
Ls age :254 
Len :36 
Options :EE 
Seq# : 80000001 
chksum ; 0x4b2 
Net mask :255.0.0.0 
TOS0 Metric :1 
E type 人 ; 
Forwarding Address : 0.0.0.0 
Tag 二 
Priority :Low 

RI i 


: FA=0.0.0.0 


Tog 外 部 路 由 引入 
Ai) 






Eb 


外 部 网 络 
10.0.0.0/8 









Area0 E Areal 


ww 


图 3-36 R4 作为 ASBR 向 OSPF 域内 注入 Type-5 LSA 
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当 一 条 外 部 路 由 被 引入 OSPF 时 ，ASBR 除了 会 设置 该 路 由 的 外 部 Cost 值 ， 还 会 设 
置 其 度量 值 类 型 ， 这 两 个 值 最 终 都 会 被 写 入 Type-5 LSA 的 相关 字段 中 。 

一 台 路 由 器 在 收 到 Type-5 LSA 后 ， 需 要 检查 引入 该 外 部 路 由 的 ASBR 是 否 可 达 ， 
如 果 该 ASBR 可 达 ， 路 由 器 才 会 使 用 该 Type-5 LSA 进行 外 部 路 由 计算 。 另 外 ， 不 同 的 
外 部 路 由 度量 值 类 型 ， 路 由 的 Cost 值 算法 是 不 同 的 。 假 设 一 条 Type-5 LSA 的 外 部 Cost 
为 B, 而 路 由 器 义 到达 产 生 这 条 Type-5 LSA 的 ABSR 的 路 径 Cost 为 A, 则 当 Type-5 LSA 
的 度量 值 类 型 为 Metric-Type-1 时 ，X 计算 出 的 这 条 外 部 路 由 的 Cost 等 于 A+B， 但 如 果 
度量 值 类 型 为 Metric-Type-2， 则 路 由 的 Cost 等 于 B。 

6. Type-7 LSA 

Type-7 LSA 也 就 是 非 完 全 末梢 区 域外 部 LSA (Not-So-Stubby Area External LSA)。 这 
是 一 种 特殊 的 LSA， 也 是 用 于 描述 OSPF 外 部 路 由 ， 并 且 其 报 文 格式 与 Type-5 LSA 一 致 ， 
但 是 它 的 泛 洪 范围 却 是 有 严格 限制 的 一 人 它 只 能 够 在 NSSA (Not-So-Stubby Area， 非 完全 
末梢 区 域 ) 内 泛 洪 , 并 且 不 能 进入 Area0。 关 于 NSSA 的 概念 本 书 将 在 3.2.4 节 中 详细 探讨 。 

OSPF 除了 定义 常规 区 域外 ， 还 定义 了 几 种 特殊 区 域 类 型 ，NSSA 就 是 其 中 之 一 。 
NSSA 禁止 来 自 Area0 的 Type-5 LSA 进入 ， 这 使 得 该 区 域内 泛 洪 的 LSA 在 一 定 程 度 上 减 
少 了 ,当然 , 这 也 有 助 于 减 小 NSSA 中 路 由 器 的 路 由 表 规 模 ， 从 而 减 小 设备 负担 ， 而 ABR 
为 了 让 NSSA 内 的 路 由 器 能 通过 骨干 区 域 访问 被 过 滤 掉 的 Type-5 LSA 所 摘 述 的 外 部 路 由 ， 
会 向 NSSA 中 发 布 一 条 默认 路 由 (使 用 Type-7 LSA 描述 )。 另 一 方面 ，NSSA 允许 本 区 域 
中 的 路 由 器 引入 少量 外 部 路 由 ， 这 些 外 部 路 由 被 引入 后 将 使 用 Type-7 LSA 描述 ， 而 且 
Type-7 LSA 只 能 够 在 该 NSSA 内 泛 洪 , 不 允许 被 注入 Area0。NSSA 的 ABR 会 负责 将 NSSA 
内 泛 潜 的 Type-7 LSA 转换 成 Type-5 LSA， 使 得 这 些 外 部 路 由 能 够 在 OSPF 域内 传播 。 

在 图 3-37 中 ，Areal 由 原来 的 常规 区 域 被 修改 为 NSSA。R4 将 外 部 路 由 10.0.0.0/8 
引入 OSPF, 它 作 为 ASBR 将 会 为 Areal 这 个 NSSA 产生 一 条 描述 该 路 由 的 Type-7 LSA， 
这 样 ，Areal 内 的 其 他 路 由 器 就 能 够 根据 这 条 LSA 计算 出 到 达 10.0.0.0/8 的 外 部 路 由 。 
另外 ,NSSA 的 ABR 一 一 R3 会 负责 将 这 条 Type-7 LSA 转换 成 Type-5 LSA, 并 将 该 Type-5 
LSA 注入 Area0， 随 后 传播 到 整个 OSPF 域 。 


在 R3 上 使 用 display ospf lsdb nssa 命令 可 以 查看 到 在 Areal 中 泛 潜 的 Type-7 LSA。 
<R3>display ospf lsdb nssa 





OSPF Process 1 with Router ID 3.3.3.3 


Area: 0.0.0.0 
Link State Database 
Area: 0.0.0.1 
Link State Database 
Type : NSSA 
Ls id : 0.0.0.0 
Adyvit :3.33.3 
Ls age -dl 


Len :36 
Options :None 
Seq#f : 80000001 
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chksum :OQxable 
Net mask :0.0.0.0 


TOS0 Metric :1 

E type 

Forwarding Address : 0.0.0.0 
Tag :} 

Priority :Low 

Type NSSA 

Lsid 10.0.0.0 

Adv rtr 4.4.4.4 

Ls age 起 

Len :36 

Options NP 

Seq# : 80000001 
chksum :0Qxbl6d 

Net mask :255.0.0.0 
TOSO Metric :1 

E type a/ 

Forwarding Address ; 192.168.34.4 
Tag | 

Priority :Low 













通路 由 器 3333 | 


Tag=1 
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外 部 网 络 
10.0.0.0/8 














图 3-37 Type-7 LSA 的 泛 洪 及 Type-7 LSA 转 Type-5 LSA 的 动作 


从 上 面 的 输出 可 以 看 到 Areal 中 一 共 泛 洪 着 两 条 Type-7 LSA， 其 中 的 一 条 是 由 
ASBR 一 一 R4 产生 的 ， 用 于 描述 外 部 路 由 10.0.0.008， 另 一 条 则 是 由 ABR 一 -一 R3 自动 产 


生 的 ， 是 一 条 默认 路 由 ， 这 条 默认 路 由 只 能 


R3 能 够 根据 R4 产生 的 这 条 Type-7 LSA 计算 出 到 达 


<R3>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


Pablic routing table : OSPF 


在 Areal 内 传播 。 
10.0.0.0/8 的 路 由 : 
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Destinations : 3 Routes : 3 


OSPF routing table status : <Active> 


Destinations : 3 Routes : 3 
Destination/Mask Proto Pre ‘Cost Flags NextHop 
10.0.0.0/8 ONSSA 150 1 D 192.168.34.4 
192.168.1.0/24 OSPF ROSE2 D192.168.123.1 
192.168.2.0/24 OSPF 1 D 192.168.123.2 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes : 0 
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‘nterface 


Seriall/0/0 
GigabitEthernet0/0/0 
GigabitEthernet0/0/0 


留意 到 R3 的 路 由 表 中 10.0.0.0/8 的 路 由 ，Proto 为 O0 NSSA， 意 味 着 这 是 一 条 根据 


Type-7 LSA 计算 得 出 的 NSSA 外 部 路 由 。 


NSSA 的 ABR R3 会 将 Type-7 LSA 转换 成 Type-5 LSA 注入 Area0 中 ,使 得 其 他 OSPF 
区 域 能 够 计算 出 到 达 10.0.0.0/8 的 路 由 。 在 R1 上 查看 这 条 Type-5 LSA: 


<Rl>display ospf lsdb ase 
OSPF Process 1 with Router ID 1.1.1.1 
Link State Database 
Type : External 
Ls id : 10.0.0.0 
AdyTtmi 33.3.3 
Ls age : 169 
Len :36 
Options :E 
Seq# : 80000004 


chksum :0x40e7 

Net mask :255.0.0.0 

TOSO Metrc :1 

E type : 芝 

.Forwarding Address : 192.168.34.4 
Tag | 

Priority :Low 


R1 及 R2 能 够 根据 这 条 Type-5 LSA 计算 出 路 由 ， 以 R1 的 路 由 表 为 例 : 


<R1l>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fb 


Public routing table : OSPF 
Destinations : 3 Routes : 3 


OSPF routing table status : <Active> 


Destinations : 3 Routes : 3 
Destination/Mask Proto Pre “Cost Flags NextHop 
10.0.0.0/8 OASE “150 1 D 192.168.123.3 
192.168.2.0/24 “OSPF 0 ~ 2 D 192.168.123.2 
192.168.34.0/24 OSPF 10 49 D 192.168.123.3 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


Interface 


GigabitEthernet0/0/0 
GigabitEthermet0/0/0 
GigabitEthernet0/0/0 


132 HCNP 路 由 交换 学 习 指 南 


3.2.4 ”区域 类 型 及 详解 


OSPF 是 目前 使 用 最 为 广泛 的 IGP 之 一 ， 能 够 文 持 大 规模 的 网 络 ， 在 实际 的 组 网 项 
目 中 几乎 随处 可 见 。 大 家 已 经 知道 OSPF 作为 一 种 链 路 状态 路 由 协议 ， 使 用 LSA 来 描述 
网 络 拓扑 及 网 段 信 息 ， 为 了 减少 LSA 的 泛 洪 、 减 小 路 由 器 LSDB 的 规模 ， 从 而 减 小 路 由 
器 的 性 能 损耗 ，OSPF 引入 了 多 区 域 的 概念 。 将 一 个 OSPF 域 划分 成 多 个 区 域 带 来 了 许 
多 利好 。 每 个 区 域 独立 维护 一 套 LSDB， 并 且 单 独 运行 SPF 算法 ， 而 且 区 域内 的 拓扑 变 
更 也 不 会 对 整个 OSPF 网 络 带 来 过 大 的 影响 ， 这 些 利好 都 使 得 OSPF 能 够 支持 更 大 规模 
的 网 络 。 然 而 仅仅 这 些 是 不 够 的 ， 当 OSPF 被 部 署 在 一 个 大 型 网 络 中 ， 实 现 数据 互通 的 
前 提 是 要 打通 网 络 中 的 路 由 ， 而 将 路 由 信息 传递 到 位 只 是 第 一 步 ， 此 外 还 需 考虑 如 何 优 
化 网 络 、 如 何 进一步 减少 LSA 在 网 络 中 的 泛 洪 、 如 何 减 小 路 由 器 路 由 表 的 规模 。 

图 3-38 展示 了 一 个 企业 网 络 的 示例 ， 这 个 网 络 的 规模 比较 大 ， 网 络 从 多 辑 架 构 上 分 
了 三 个 区 块 ， 分 别 是 省 公司 、 地 市 分 公司 以 及 区 县 公司 ， 其 中 地 市 和 区 县 公司 的 网 络 运 
行 OSPF 协议 ， 处 于 同一 个 OSPF 域 。 整 个 OSPF 网 络 进行 了 层次 化 的 设计 ， 地 市 分 公 
司 的 核心 网 络 部 团 在 Area0, 而 每 个 区 县 公司 被 规划 在 了 非 0 区 域 , CO-SW1 及 CO-SW2 
是 地 市 分 公司 的 两 台 汇 聚 设备 ， 用 于 连接 地 市 分 公司 及 下 面 的 区 县 公司 ， 这 两 台 设 备 同 
时 也 是 ABR。 每 个 区 县 公司 规划 了 一 个 独立 的 区 域 ， 例 如 区 县 公司 1 在 Areal， 区 县 公 
司 2 在 Area2， 以 此 类 推 ， 图 中 只 是 给 出 了 区 县 公司 网 络 的 简单 示意 。 地 市 分 公司 的 出 
口 路 由 器 (OR-R1 及 OR-R2) 与 省 公司 的 PE 路 由 器 (PE1 及 PE2) 对 接 ， 通 过 BGP 交 
互 路 由 信息 ,出口 路 由 器 OR-R1 及 OR-R2 将 自己 从 省 公司 学 习 到 的 BGP 路 由 引入 OSPF， 
使 得 整个 OSPF 域内 的 路 由 器 能 够 学 习 到 这 些 外 部 路 由 ， 从 而 使 得 访问 省 公司 的 数据 流 
量 能 够 顺利 地 被 路 由 到 PE 路 由 器 。 : 






地 市 分 公司 


OSPF Area0 


区 县 公司 1 区 县 公司 2 区 县 公司 N 


图 3-38 一 个 较 大 规模 的 网 络 示 意图 
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TY BGP 是 一 种 外 部 网 关 路 由 协议 (Exterior Gateway Protocol) ， 主 要 被 用 于 在 AS 
之 间 交 互 路 由 信息 。 本 书 将 在 “BGP” 一 章 中 介绍 该 协议 。 


初始 情况 下 ， 区 县 公司 的 路 由 器 能 够 学 习 到 整个 OSPF 域内 的 路 由 ， 当 然 ， 也 会 学 习 到 
OR 路 由 右 从 BGP 引入 的 所 有 外 部 路 由 。 随 看 业务 规模 逐渐 变 大 ， 省 公司 、 地 市 公司 的 网 络 
将 变 得 更 加 庞大 ， 区 县 公司 可 能 也 会 逐渐 增多 ， 这 些 都 将 导致 每 个 区 县 路 由 器 的 路 由 表 变 得 
肥 有 种 ， 每 台 路 由 器 将 变 得 不 堪 重 人 负 。 然 而 从 这 个 网 络 大 家 可 以 直观 地 看 出 ， 实 质 上 对 于 每 个 
区 县 公司 而 言 ， 并 不 用 知晓 OSPF 域外 ， 甚 至 OSPF 区 域外 的 路 由 细节 ， 这 些 信息 其 实 可 以 
被 屏蔽 挥 ， 因 为 每 个 区 县 公司 都 是 一 个 末梢 网 络 ， 它 们 的 外 出 流量 只 需 保 证 被 送 到 地 市 分 公 
司 的 汇聚 设备 就 可 以 被 顺利 路 由 到 目的 地 ， 无 论 这 个 目的 地 是 域外 的 ， 还 是 其 他 区 县 公司 的 。 

OSPF 设计 了 多 种 区 域 类 型 ， 以 便 满 足 多 种 业务 需求 。 

1. 骨干 区 域 (Backbone Area ) 

骨干 区 域 是 Area0， 是 整个 OSPF 域 的 中 心 枢纽 。 一 个 OSPF 域 有 且 只 能 拥有 一 个 
Area0， 上 所 有 的 区 域 间 路 由 必须 通过 Area0 中 转 。 

2.， 常规 区 域 (Normal Area ) 

所 有 的 OSPF 区 域 缺 省 情况 下 都 是 常规 区 域 ， 当 然 ，Areal0 是 常规 区 域 中 比较 特殊 
的 一 个 。OSPF 要 求 所 有 的 非 骨 干 区 域 ( 非 0 常规 区 域 ) 都 必须 与 Area0 直接 相连 。 常 规 
区 域 中 允许 Type-1、Type-2、Type-3、Type-4 以 及 Type-5 LSA 泛 洪 ，Type-7 LSA 禁止 出 
现在 和 常规 区 域内 。 依 然 以 本 节 开 始 时 展示 的 网 络 为 例 ，Areal 是 一 个 非 0 常规 区 域 ， 
CO-SW1 及 CO-SW2 作为 这 个 区 域 的 ABR， 会 将 Type-3、Type-4 以 及 Type-5 LSA 都 注 
入 Areal (如 图 3-39 所 示 )。 





图 3-39 Type-3、Type-4 及 Type-5 LSA 能 够 进入 常规 区 域 
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3. 末梢 区 域 (Stub Area ) 

末梢 区 域 也 被 称 为 Stub 区 域 ， 当 一 个 非 0 常规 区 域 只 有 单一 的 出 口 (例如 该 区 域 只 
有 一 个 ABR)， 或 者 区 域内 的 路 由 桌 不 需要 根据 特定 的 外 部 路 由 来 选择 离开 区 域 的 出 口 
时 , 该 区 域 可 以 被 配置 为 Stub 区 域 。 当 一 个 区 域 被 配置 为 Stub 区 域 后 , 这 个 区 域 的 ABR 
将 阻挡 Type-5 LSA 进入 该 区 域 〈 禁 止 外 部 路 由 被 发 布 到 该 区 域 )， 通 过 这 种 方式 可 减少 区 
域内 所 泛 洪 的 LSA 数量， 同时 该 区 域 的 ABR 自动 下 发 一 条 使 用 Type-3 LSA 描述 的 默认 
路 由 ， 使 得 区 域内 的 路 由 器 能 够 通过 这 条 默认 路 由 到 达 域 外 ， 因 此 既 减 小 了 区 域内 网 络 设 
备 的 路 由 表 规 模 ， 又 保证 了 其 访问 外 部 网 络 的 数据 可 达 性 。 在 一 个 大 量 引 入 外 部 路 由 的 
OSPF 网 络 中 , 将 适当 的 区 域 配置 为 Stub 区 域 可 以 极 大 地 减 小 该 区 域内 路 由 器 的 路 由 表 规 
模 ， 从 而 降低 设备 的 资源 消耗 。 另 外 ， 对 于 Stub 区 域 而 言 ， 到 达 OSPF 域内 其 他 区 域 的 路 
由 依然 能 够 被 注入 ， 即 ABR 依然 会 将 描述 区 域 间 路 由 的 Type-3 LSA 注入 到 Stub 区 域 中 。 

在 图 3-40 中 , Areal 被 配置 为 Stub 区 域 , 这 样 Areal 的 ABR (CO-SW1 及 CO-SW2 ) 
便 不 能 再 将 Type-5 LSA 注入 这 个 区 域 。 由 于 Type-5 LSA 无 法 进入 该 区 域 ， 因 此 Type-4 
LSA 也 就 没有 必要 再 在 该 区 域内 泛 洪 ， 所 以 CO-SW1 及 CO-SW2 也 就 不 会 再 同 该 区 域 
内 注入 Type-4 LSA， 进 而 ，Router-X 的 路 由 表 将 不 会 再 出 现 到 达 省 公司 (OSPF 域外 ) 
的 具体 路 由 ， 路 由 表 的 规模 减 小 了 ， 设 备 的 资源 消耗 也 就 降低 了 。 当 然 ，Router-X 访问 
省 公司 的 需求 还 是 存在 的 ,为 了 让 Router-X 发 往 省 公司 的 流量 能 顺利 到 达 目 的 地 ，ABR 
会 自动 向 Areal 中 注入 默认 路 由 ， 该 条 默认 路 由 使 用 Type-3 LSA 摘 述 ，CO-SW1 及 
CO-SW2 都 会 下 发 默认 路 由 ,网 络 管理 员 可 以 通过 把 控 默 认 路 由 的 Cost 从 而 控制 Router- 
X 选择 的 出 口 。Router-X 发 往 省 公司 的 流量 能 够 通过 该 默认 路 由 先 到 达 CO-SW1 或 
CO-SW2， 再 通过 它们 转发 到 省 公司 。 


(TE TE 


QC Type-5 LSA 
Type-3 LSA〔 上 默认 路 由 ) 


Type-5 LSA® 
Type-3 LSA (上 默认 路 由 ) 





Areal Stub 
Router-X 区 县 公司 1 


图 3-40 Type-5LSA 被 Stub 区 域 的 ABR 阻挡 
值得 注意 的 是 ，OSPF 要 求 所 有 连接 到 Stub 区 域 的 路 由 器 ， 对 于 该 区 域 的 Stub 属性 
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要 有 一 致 的 认 知 , 以 图 3-40 为 例 , 当 我 们 在 CO-SW1 及 CO-SW2 上 将 Areal 设置 为 Stub 
区 域 时 ， 所 有 连接 到 Areal 的 路 由 器 (例如 Router-X) 都 应 该 进行 相应 的 配置 ， 都 应 当 
将 Areal 视 为 Stub 区 域 ， 和 否则 OSPF 邻接 关系 的 建立 将 出 现 问 题 。 

我 们 还 能 在 Stub 区 域 基础 上 进一步 减少 LSA 的 泛 洪 ， 即 在 Stub 区 域 的 ABR 上 ， 
进一步 阻挡 描述 区 域 间 路 由 的 Type-3 LSA 进入 该 区 域 ， 区 域内 的 路 由 器 通过 ABR 向 该 
区 域 下 发 的 默认 路 由 到 达 本 区 域 之 外 的 其 他 区 域 以 及 域外 的 网 络 。 这 样 ， 这 个 特殊 区 域 
内 将 只 有 Type-1、Type-2 LSA 以 及 摘 述 默认 路 由 的 Type-3 LSA 存在 ， 这 意味 着 区 域内 
路 由 器 的 路 由 表 都 将 只 有 到 达 区 域内 部 的 路 由 ， 以 及 指 癌 ABR 的 默认 路 由 ， 路 由 器 的 
路 由 表 被 极 大 程度 地 精简 了 。 这 种 特殊 区 域 也 被 称 为 完全 末梢 区 域 〈Totally Stub Area )。 
在 本 例 中 ,可 在 CO-SW1 及 CO-SW2 上 进一步 阻挡 Type-3 LSA 进入 Areal, 这样 Router-X 
将 不 会 再 学 习 到 Areal 之 外 的 、 到 达 其 他 区 县 的 区 域 间 路 由 ， 以 及 到 达 省 公司 的 外 部 路 
由 ，Router-X 的 路 由 表 将 极 大 程度 地 被 何 化 。 当 然 ，Router-X 可 以 通过 ABR 下 发 的 默 
认 路 由 将 外 出 的 数据 包 送 出 去 。 

需要 强调 的 是 ，Area0 不 能 够 被 配置 为 Stub 区 域 ， 这 是 显而易见 的 。 另 外 ， 当 一 个 
区 域 被 指定 为 Stub 区 域 后 ， 这 个 区 域 将 不 再 允许 执行 外 部 路 由 引入 。 

4. 非 完 全 末梢 区 域 (Not-So-Stubby Area ) 

Stub 区 域 的 ABR 能 够 阻挡 Type-4 LSA 及 Type-5 LSA 进入 该 区 域 ， 并 且 接 入 该 
区 域 的 路 由 器 禁止 将 外 部 路 由 引入 该 区 域 。 以 图 3-40 所 示 的 网 络 为 例 ，Areal 一 旦 被 
配置 为 Stub 区 域 ， 那 么 CO-SW1、CO-SW2 及 Router-X 均 不 能 够 再 将 外 部 路 由 引入 

现在 来 考虑 一 种 特殊 的 场景 , 假设 Router-X 路 由 器 下 挂 着 一 个 小 型 区 县 网 络 ， 这 个 
网 络 的 路 由 器 采用 RIP 来 实现 路 由 的 交互 。 现 在 这 个 小 型 网 络 需 要 访问 地 市 公司 及 省 公 
司 的 网 络 资源 ， 那 么 我 们 便 需 要 将 两 个 路 由 域 打 通 ， 在 Router-X 上 执行 路 由 重 分 发 是 一 
种 立刻 就 能 想到 的 方案 ， 但 是 随后 可 能 义 会 意识 到 此 时 Areal 已 经 是 Stub 区 域 ， 因 此 
Router-X 不 被 允许 执行 外 部 路 由 引入 ,那么 将 Areal 恢复 成 常规 区 域 呢 ?这 又 丢失 了 Stub 
区 域 的 优势 ， 到 达 省 公司 的 外 部 路 由 又 全 灌 进 Areal。 此 时 ， 另 一 个 特殊 区 域 一 -NSSA 
也 就 办 亮 登场 了 。 

NSSA (Not-So-Stubby Area) 即 非 完全 末梢 区 域 ， 可 以 理解 为 Stub 区 域 的 变种 ， 它 
拥有 Stub 区 域 的 特点 一 一 阻挡 Type-4 及 Type-5 LSA 进入 , 从 而 在 一 定 程度 上 减少 区 域 
内 泛 潜 的 LSA 数量 ， 同 时 它 还 有 另 一 个 特点 ， 那 就 是 允许 该 区 域 的 路 由 器 将 少量 外 部 路 
由 引入 OSPF。 被 引入 的 外 部 路 由 ， 以 Type-7 LSA 描述 ， 并 且 这 些 Type-7 LSA 只 能 
在 当前 的 NSSA 内 泛 洪 ， 不 允许 直接 进入 Area0。 为 了 使 这 些 被 引入 NSSA 的 外 部 路 由 


-能 让 OSPF 域内 的 其 他 区 域 学 习 到 ，NSSA 的 ABR 会 将 Type-7 LSA 转换 成 Type-5 LSA 


然后 注入 Area0， 从 而 泛 洪 到 整个 OSPF 域 。 

图 3-41 展示 了 NSSA 的 一 个 应 用 实例 ,Areal 被 配置 成 了 NSSA .这样 Areal 的 ABR 
将 阻挡 Type-5 LSA 进入 这 个 区 域 。 另 一 方面 ，Router-X 连接 到 一 个 RIP 网 络 ， 它 将 路 
由 表 中 的 RIP 路 由 引入 OSPF， 这 些 被 引入 的 外 部 路 由 以 Type-7 LSA 描述 ， 这 些 LSA 
在 Areal 内 泛 洪 ， 并 且 禁 止 进入 Area0。CO-SW1 及 CO-SW2 作为 NSSA 的 ABR， 自 然 
也 是 能 收 到 这 些 Type-7 LSA 的 ， 它 们 能 够 根据 这 些 LSA 计算 出 到 达 RIP 网 络 的 路 由 。 
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另外 它们 也 负责 将 Type-7 LSA 转换 成 Type-5 LSA 并 将 后 者 注入 Area0， 这 样 这 些 外 部 
路 由 便 能 够 被 整个 OSPF 域 中 的 路 由 器 学 习 到 。 男 一 方面 ，CO-SW1 及 CO-SW2 会 回 
NSSA 内 下 发 一 条 Type-7 LSA 的 默认 路 由 ， 使 得 Router-X 能 够 通过 这 条 默认 路 由 到 达 
省 公司 。 


TT 
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VPpeSLSA Areal NSSA sid 
Type-7 LSA (默认 有 路由 ) Type-7 LSA (默认 路 由 ) 
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图 3-41 Areal 被 配置 为 NSSA 


我 们 还 可 以 在 NSSA 的 基础 上 进一步 减少 LSA 的 泛 洪 。 在 NSSA 的 ABR 上 ， 可 以 
进一步 将 Type-3 LSA 阻挡 掉 ， 从 而 将 区 域 间 的 路 由 都 过 滤 反 ， 而 NSSA 的 ABR 会 目 动 
下 发 一 条 上 默认 路 由 (使 用 Type-3 LSA 描述 ) 到 该 区 域 ， 使 得 区 域内 的 路 由 器 能 够 通过 这 
条 默认 路 由 访问 OSPF 域内 的 其 他 区 域 ， 以 及 域外 的 网 络 。 这 种 类 型 的 特殊 区 域 也 被 称 
为 Totally NSSA。 

$， 各 种 区 域 类 型 中 允许 出 现 的 LSA 

表 3-4 列举 出 了 在 每 种 OSPF 区 域 类 型 中 ， 人 允许 出 现 以 及 禁止 出 现 的 LSA。 

表 3-4 


常规 区 域 
Stub 区 域 
Totally Stub 区 . 域 
NSSA 
Totally NSSA 


(1) ABR 会 自动 下 发 一 条 Type-3 LSA 的 默认 路 由 ， 除 此 之 外 其 他 的 Type-3 LSA 都 
被 禁止 。 





| 


第 3 章 OSPF 137 


(2) ABR 会 目 动 下 发 一 条 Type-3 LSA 的 默认 路 由 ， 除 此 之 外 其 他 的 Type-3 LSA 都 
被 禁止 。 


3.2.5 判断 LSA 的 新 旧 


LSA 是 OSPF 路 由 计算 的 核心 ， 路 由 器 只 有 搜集 到 了 网 络 中 完整 的 、 最 新 的 LSA， 
才能 够 尽 可 能 准确 地 计算 出 最 佳 路 由 。 对 于 OSPF 网 络 的 收 你 ，LSA 的 泛 洪 及 更 新 是 关 
键 。 OSPF 也 像 RIP 那样 , 会 周期 性 地 泛 洪 更 新 信息 , 只 不 过 RIP 泛 洪 的 是 路 由 , 而 OSPF 
则 泛 洪 LSA， 而 且 RIP 的 泛 洪 周期 较 短 ，OSPF 则 以 1800s 为 周期 对 LSA 进行 泛 洪 。 采 
用 更 长 的 泛 洪 周期 ， 可 避免 网 络 中 的 OSPF 流量 过 大 ， 以 免 造 成 不 必要 的 带宽 消耗 。 男 
一 方面 ， 当 网 络 拓扑 发 生变 更 时 ，OSPF 也 会 执行 LSA 的 触发 更 新 ， 以 便 网 络 更 快速 地 
收敛 。 

OSPF 采用 链 路 状态 类 型 、 链 路 状态 ID 以 及 通告 路 由 器 三 元 组 来 标识 一 个 LSA， 这 
其 实 就 是 每 个 LSA 的 头 部 中 的 三 个 关键 字段 。 

当 路 由 器 收 到 同一 个 LSA 的 两 个 不 同 实例 时 ， 例 如 路 由 器 收 到 某 个 LSA 并 将 其 加 
载 到 上 自己 的 LSDB 中 ， 随 后 又 从 网 络 中 再 次 收 到 该 LSA 的 另 一 个 实例 〈 链 路 状态 类 型 、 
链 路 状态 ID 以 及 通告 路 由 器 三 元 组 均 相 同 ), 并 且 LSA 的 内 容 可 能 有 所 不 同 ， 此 时 路 由 
器 该 如 何 判 断 两 个 LSA 实例 训 新 训 旧 ? 从 网 络 中 收 到 的 LSA 是 否 应 该 奉 换 LSDB 中 原 
有 的 LSA? OSPF 使 用 链 路 状态 序列 号 、 老 化 时 间 以 及 校 验 和 来 做 决策 ， 它 通过 如 下 几 
个 步骤 判断 一 个 LSA 的 新 旧 。 

(1) 首先 ， 拥 有 更 高 链 路 状态 序列 号 的 LSA 实例 被 认为 更 新 ， 因 为 路 由 器 每 次 在 刷新 
LSA 的 时 候 ， 会 将 该 LSA 的 链 路 状态 序列 号 加 1， 链 路 状态 序列 号 越 大 ， 则 LSA 越 新 。 

(2) 如 果 LSA 实例 的 链 路 状态 序列 号 相同 ， 那 么 拥有 更 大 校 验 和 的 LSA 实例 被 认 

(3) 如 果 LSA 实例 的 链 路 状态 序列 号 相同 、 校 验 和 也 相同 ， 且 某 个 实例 的 老化 时 间 
被 设置 为 MaxAge【〈 最 大 老化 时 间 ， 缺 省 3600s )， 则 该 实例 被 认为 最 新 。 






i MaxAge 是 OSPF 的 一 个 常量 , 如 果 LSA 的 LS Age 达到 了 MaxAge, 那么 该 LSA 
将 被 直接 删除 ， 不 能 再 被 用 于 OSPF 路 由 计算 。 该 常量 被 设 定 为 1h。 

(4) 如 果 LSA 实例 的 链 路 状态 序列 号 相同 、 校 验 和 也 相同 ， 且 没有 任何 一 个 实例 的 
老化 时 间 被 设置 为 MaxAge,， 那么 当 两 个 实例 的 老化 时 间 相 差 超 过 MaxAgeDi 企 时 , 这 两 
”个 实例 被 认为 是 不 同 的 实例 ， 且 老化 时 间 值 越 小 的 LSA 被 认为 越 新 。 






”MaxAgeDiff 是 OSPF 的 一 个 常量 ， 它 描述 的 是 一 个 LSA 的 实例 从 其 始 发 设备 出 
发 ， 直 至 被 泛 洪 到 整个 AS 边界 所 需 的 最 长 时 间 。 该 时 间 被 设置 为 13min。 

($5) 如 果 LSA 实例 的 链 路 状态 序列 号 相同 、 校 验 和 也 相同 ， 另 外 ， 没 有 任何 一 个 实例 
的 老化 时 间 被 设置 为 MaxAge, 并 且 , 两 个 实例 的 老化 时 间 相 等 , 或 相差 不 超过 MaxAgeDiff， 
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则 它们 被 认为 是 相同 的 实例 。 

当 设 备 的 LSDB 中 已 经 存在 某 个 LSA 时 ， 如 果 又 从 网 络 中 收 到 了 该 LSA 的 男 一 个 
实例 ， 则 通过 上 述 步骤 来 判断 同一 个 LSA 的 两 个 不 同 实例 的 新 旧 ， 新 的 LSA 实例 会 覆 
盖 旧 实例 。 


3.3 OSPF 协议 特性 


本 市 将 介绍 OSPF 的 几 种 协议 特性 ， 和 擎 握 这 些 特性 是 非常 有 必要 的 ， 学 习 完 本 而 之 
后 ， 我 们 应 该 能 够 : 

。 掌握 OSPF 路 由 汇总 的 方法 及 其 部 署 场景 ; 

e。 理解 Virtual Link 的 概念 及 其 部 署 要 点 ; 

e 理解 Silent-Interface 的 概念 及 其 部 履 场 景 ; 

。 掌握 OSPF 认证 的 类 型 及 实现 ; 

e 理解 FA 的 概念 ; 

e 误 悉 OSPF 的 路 由 防 环 设 计 。 


3.3.1 ”路 由 汇总 


在 一 个 大 型 的 网 络 中 部 署 路 由 协议 时 ， 需 要 考虑 到 各 种 细节 。 网 络 规模 越 大 ， 卫 网 
段 可 能 也 就 越 多 ， 为 了 实现 全 网 互通 ， 每 台 路 由 器 就 不 得 不 维护 到 达 全 网 的 路 由 信息 ， 
它们 的 路 由 表 将 逐渐 变 得 爱 肿 ， 进 而 设备 资源 的 消耗 势必 增 大 ， 这 将 直接 影响 路 由 器 的 
性 能 。 另 外 ， 网 络 拓扑 中 的 每 一 处 变化 ， 都 有 可 能 会 导致 相应 的 变更 信息 传播 到 全 网 。 
因此 ， 在 保证 全 网 数据 可 达 的 前 提 下 ， 减 小 网 络 中 路 由 器 的 路 由 表 规 模 就 是 一 件 必须 考 
虚 的 事情 ， 一 个 非常 常见 而 又 有 效 的 办 法 束 是 使 用 路 由 汇总 。 路 由 汇总 又 被 称 为 路 由 聚 
合 ， 是 将 一 组 路 由 汇聚 成 一 条 路 由 ， 从 而 达到 减 小 路 由 表 规 模 以 及 优化 设备 资源 利用 率 
的 目的 , 我 们 把 汇聚 之 前 的 这 组 路 由 称 为 精细 路 由 (或 者 明细 路 由 )， 把 汇聚 之 后 的 这 个 
路 由 称 为 汇总 路 由 (或 者 聚合 路 由 )。 

OSPF 并 不 像 距 离 矢 量 路 由 协议 (例如 RIP) 那样 支持 路 由 自动 汇总 ,为 了 让 路 由 汇 
总 实施 起 来 更 加 可 控 ，OSPF 的 路 由 汇总 需 手工 部 署 。OSPF 支持 两 种 路 由 汇总 方法 , 一 
种 需要 部 署 在 ABR 上 ， 男 一 种 则 需要 部 署 在 ASBR 上 。 

1. 在 ABR 上 部 署 路 由 汇总 

以 图 3-42 所 示 的 网 络 为 例 ， 核 心路 由 器 CO、 汇 聚 路 由 器 GS R1 及 GS _R2 构成 了 
OSPF 网 络 的 骨干 区 域 ， 站 点 1 及 站 点 2 两 个 网 络 被 分 别 规划 在 Areal 及 Area2， 在 两 个 
站 点 中 , 各 有 一 台 网 关 交 换 机 GW_SW,， 而 在 GW_SW 下 分 别 挂 着 数 个 IP 网 段 ， 当 然 这 
些 网 段 都 是 经 过 合理 规划 的 ， 比 较 有 规律 。 这 个 网 络 完 成 基本 的 OSPF 配置 后 ， 初 始 情 
况 下 骨干 路 由 器 CO 会 通过 OSPF 获知 到 达 两 个 站 点 内 所 有 网 段 的 明细 路 由 ， 随 着 站 点 
内 网 段 的 数量 增多 ， 骨 干 区 域 路 由 器 的 路 由 表 势 必 逐 渐变 得 胱 肿 ， 此 时 可 以 在 ABR 上 
对 区 域内 的 路 由 进行 汇总 , 例如 在 Areal 的 ABR 一 一 GS _R1 上 ,对 Areal 内 的 路 由 进行 
汇总 ， 将 站 点 1 内 的 明细 路 由 汇总 成 192.168.0.0/19 并 只 将 这 条 汇总 路 由 通告 到 Area0， 


第 3 章 OSPF 139 


这 样 Area0 内 的 CO 以 及 GS_R2 将 只 会 学 习 到 这 条 汇总 路 由 , 而 不 会 学 习 到 站 点 1 内 的 
明细 路 由 。 执 行 完 这 个 操作 后 ， 只 要 站 点 1 内 这 条 汇总 路 由 所 涵盖 的 明细 路 由 中 有 一 条 
是 有 效 的 ，GS_R1 便 会 向 Area0 通告 该 汇总 路 由 ， 而 当 所 有 的 明细 路 由 全 部 失效 时 ， 
GS_R1 便 不 会 再 向 Area0 通告 该 汇总 路 由 。 同 理 ， 对 于 Area2， 可 以 在 GS_R2 上 执行 路 
由 汇总 ， 将 站 点 2 内 的 明细 路 由 汇总 成 192.168.32.0/19。 最 终 ，CO 路 由 器 将 只 会 学 习 到 
关于 站 点 1 及 站 点 2 的 两 条 汇总 路 由 ， 它 的 路 由 表 中 路 由 表 项 被 极 大 程度 地 精简 了 。 
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图 3-42 在 ABR 上 部 署 路 由 汇总 


GS_R1 的 关键 配置 如 下 : 

[GS_R1]ospf 1 

[GS Rl-ospf-llarea 1 

[GS Rl1-ospf-1-0.0.0.1]abr-summary 192.168.0.0 255.255.224.0 

GS_R2 的 关键 配置 如 下 : 

[GS_R2]ospf 1 

[GS_R2-ospf-1]area 2 

[GS_R2-ospf-1-0.0.0.2]Jabr-summary 192.168.32.0 255.255.224.0 

有 几 个 细节 需要 格外 留意 ， 那 就 是 使 用 abr-summary 命令 进行 路 由 汇总 的 部 署 时 ， 
只 能 够 在 ABR 上 完成 这 部 分 配置 路 由 汇总 才 会 生效 ， 而 且 只 能 够 对 ABR 直 连 区 域 的 区 
域内 部 路 由 进行 汇总 。 以 站 点 1 为 例 ， 如 条 在 GW_SW1 上 完成 相应 的 配置 ， 试 图 对 其 
下 挂 的 网 段 进 行路 由 汇总 ,配置 是 不 会 生效 的 ,因为 它 并 不 是 ABR。 另外 如 条 不 在 GS_RI 
上 部 殴 路 由 汇总 ， 而 是 在 站 点 1 的 明细 路 由 传递 到 CO 或 GS_R2 后 , 试图 在 它们 这 里 对 
”这 些 路 由 进行 汇总 ， 配 置 也 是 不 会 生效 的 ， 因 为 Areal 并 非 其 直 连 区 域 ， 而 且 这 些 路 由 
对 于 CO 及 GS_R2 而 言 是 区 域 间 的 路 由 , 而 并 非 区 域内 部 路 由 。 邦 外 ,使 用 abr-summary 
命令 部 普 路 由 汇总 时 ， 可 增加 eost 关键 宇 并 指定 汇总 路 由 的 Cost 值 , 缺 省 时 , 汇总 路 由 
的 Cost 值 等 于 被 汇总 的 明细 路 由 的 Cost 值 中 最 大 的 那个 。 

2. 在 ASBR 上 部 闭路 由 汇总 

当 ASBR 将 外 部 路 由 引入 OSPF 时 ,也 能 够 执行 路 由 汇总 。 以 图 3-43 所 示 的 网 络 为 
例 , CO 路 由 器 有 一 条 上 联 线路 连接 者 PE 路 由 器 ,CO 与 PE 之 间 建 立 BGP 对 等 体 关 系 ， 
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随后 PE 同 CO 通告 BGP 路 由 ， 而 CO 则 将 学 习 到 的 BGP 路 由 引入 OSPF。BGP 通常 用 
于 承载 大 批量 的 路 由 信息 ， 如 果 突 然 地 把 所 有 BGP 路 由 全 部 引入 OSPF， 是 存在 巨大 风 
险 的 ， 因 此 我 们 势必 会 执行 路 由 过 滤 ， 只 将 需要 的 路 由 引入 进来 。 现 在 ， 如 果 CO 将 
10.1.1.0/24、10.1.2.0/24、...... 、10.1.255.0/24 这 些 BGP 路 由 都 引入 OSPF， 所 有 OSPF 
设备 的 路 由 表 规 模 将 立即 增 大 许多 。 网 络 管理 员 可 以 在 CO 上 进行 路 由 汇总 ， 将 这 些 外 
部 路 由 汇总 成 10.1.0.0/116， 并 将 明细 路 由 屏蔽 ， 从 而 将 原本 的 255 条 路 由 汇总 成 一 条 ， 

极 大 程度 地 减 小 OSPF 网 络 的 压力 ， 设 备 可 以 通过 这 条 OSPF 汇总 路 由 到 达 BGP 网 络 。 
此 时 ， 只 要 10.1.0.0016 汇总 路 由 所 涵盖 的 明细 路 由 中 有 一 条 是 活跃 的 ，CO 便 会 同 OSPF 
发 布 该 汇总 路 由 ， 而 如 果 所 有 的 明细 路 由 全 部 失效 ， 则 CO 将 立即 撤销 该 汇总 路 由 。 





10.1.1.0/24 
10.1.2.0/24 


WA EE swevnwneveyrrrer 


EE EA Cs 


GS RI GS R2 
GW SWI 全 全 GW SW?2 
站 点 1 | 站 点 2 
图 3-43 在 ASBR 上 部 署 路 由 汇总 
CO 的 关键 配置 如 下 : 


[COJospf 1 
[CO-ospf-1]asbr-summary 10.1.0.0 255.255.0.0 


需要 强调 的 是 ， 采 用 asbr-summary 命令 执行 路 由 汇总 的 操作 只 能 够 在 ASBR 上 进 
行 才 会 生效 ， 而 且 只 针对 由 该 ASBR 引入 的 外 部 路 由 生效 。 另 外 ， 使 用 asbr-summary 
命令 部 普 路 由 汇总 时 ， 可 增加 cost 关键 字 并 指定 汇总 路 由 的 Cost 值 ， 缺 省 时 ， 如 果 被 汇 
总 的 明细 路 由 的 度量 值 类 型 为 Metric-Type-1, 那么 汇总 路 由 的 Cost 等 于 明细 路 由 的 Cost 
中 的 最 大 值 ; 如 果 被 汇总 的 明细 路 由 的 度量 值 类 型 为 Metric-Type-2, 那么 汇总 路 由 的 Cost 
等 于 明细 路 由 的 Cost 中 的 最 大 值 加 1。 


3.3.2 Virtual Link  、 


OSPF 规定 ， 当 网 络 中 存在 多 个 区 域 时 必须 部 署 骨 于 区 域 Area0, 而 且 所 有 的 非 骨 干 
区 域 必须 与 Area0 直接 相连 。 如 果 某 个 非 骨 干 区 域 没 有 与 Area0 直接 相连 ， 那 么 LSA 的 
泛 洪 就 会 出 现 问 题 ， 从 而 OSPF 的 路 由 计算 也 势必 会 出 现 问题 。 如 果 出 现 这 种 情况 ， 通 
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党 建议 的 解决 办 法 是 修改 OSPF 的 规划 和 配置 ， 使 得 网 络 满足 OSPF 的 要 求 。 但 是 如 果 
由 于 某 些 原因 网 络 不 宜 做 大 的 变更 ， 则 可 以 考虑 男 一 种 临时 性 的 解决 方案 一 一 Virtual 
Link 〈 虚 链 路 )。 

OSPF Virtual Link 是 一 种 虚拟 的 、 远 辑 的 链 路 ， 补 部 性 在 两 合 OSPF 路 由 器 之 间 ， 
它 穿越 菜 个 非 骨 干 区 域 ， 用 于 实现 男 一 个 非 骨 干 区 域 与 Area0 的 连接 。Virtual Link 被 视 
为 Area0 的 一 段 延伸 ， 当 我 们 在 两 人 台 路 由 右上 和 穿越 一 个 非 骨干 区 域 建立 虚 链 路 后 ， 这 两 
台 路 由 器 即 开 始 在 这 条 Virtual Link 上 尝试 建立 邻接 关系 ， 当 基于 Virtual Link 的 邻接 关 
系 建立 起 来 后 ，Virtual Link 两 峭 的 路 由 需 会 在 其 产生 的 Type-l LSA 中 摘 述 这 条 Virtual 
Link, 在 Type-1 LSA 中 ，Virtual Link 采用 类 型 4 的 Link 来 接 述 。 需 要 强调 的 是 ，Virtual 
Link 不 能 被 部 署 在 Stub 区 域内 。 

图 3-44 展示 了 一 个 Virtual Link 的 部 萤 案 例 。 在 这 个 网 络 中 ，Area2 并 没有 与 Area0 
直接 相连 ， 因 此 R3 并 非 实际 意义 上 的 ABR， 它 也 就 无 法 向 Areal 中 注入 用 于 描述 到 达 
Area2 内 网 段 路 由 的 Type-3 LSA， 当 然 也 无 法 问 Area2 中 注入 用 于 描述 到 达 Area0 及 
Areal 内 网 段 路 由 的 Type-3 LSA， 这 样 ，Area2 就 形成 了 一 座 孤 岛 








P1、P2、P3 及 P4 人 Cost1; PS、P6、P7 及 P8 Cost=48 
图 3-44 Virtual Link 


通过 在 R2 及 R3 之 间 建 立 一 条 穿越 Areal 的 Virtual Link， 可 实现 Area2 与 Area0 的 连 
接 。Virtual Link 被 视 作 Area0 的 一 段 延伸 ，R2 与 R3 会 基于 这 条 Virtual Link 建立 邻接 关系 ， 
一 旦 这 条 Virtual Link 建立 起 来 ，R2 及 R3 之 间 相 当 于 就 有 一 条 隐形 的 通道 ， 而 R3 也 就 成 
了 一 台 ABR， 它 会 产生 用 于 摘 述 到 达 Area2 内 各 个 网 段 路 由 的 Type-3 LSA 并 将 其 通告 给 
Areal， 以 及 通过 Virtual Link 通告 给 Area0， 另 外 ，Area0 内 的 Type-1 LSA 及 Type-2 LSA 
也 会 通过 这 条 Virtual Link 通告 给 R3, 而 R3 也 会 问 Area2 内 注入 用 于 描述 到 达 Area0 及 Areal 
内 的 各 网 段 路 由 的 Type-3 LSA。 这 样 ， 网 络 中 各 台 设 备 即 可 完成 全 网 OSPF 路 由 的 计算 。 

在 Virtual Link 邻接 关系 建立 起 来 后 , 链 路 两 端 依 然 会 保持 Hello 报 文 的 周期 性 发 送 ， 
”以 便 确定 对 端的 存活 情况 。Virtual Link 的 配置 非常 简单 ， 在 OSPF 区 域 配 置 视图 下 使 用 
vlink-peer 命令 指定 Virtual Link 对 端的 设备 (Router-ID〉 即 可 ， 当 然 ， Virtual Link 两 
个 端点 设备 (图 3-44 中 的 R2 及 R3) 都 要 进行 相应 的 配置 。 需要 注意 的 是 , 在 配置 Virtual 
Link 时 , 命令 vlink-peer 中 指定 的 并 不 是 对 端 路 由 器 的 某 个 接口 卫 地 址 , 而 是 对 端 路 由 
右 的 Router-ID， 初 学 者 在 这 里 往往 会 有 一 个 疑惑 ， 那 就 是 Virtual Link 是 如 何 建立 的 ? 
此 时 由 于 R2 及 R3 已 经 通过 Areal 内 泛 潜 的 Type-1、Type-2 LSA 描绘 出 了 Areal 的 网 络 
拓扑 及 网 段 信 息 ， 因 此 在 明确 了 Virtual Link 对 端的 路 由 器 的 Router-ID 后 ， 双 方 即 可 通 
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过 最 短路 径 树 来 发 现 到 达 对 端的 最 优 路 径 。R2 及 R3 之 间 其 实 有 两 条 物理 路 径 ， 由 于 
R2-R5-R3 这 条 路 径 的 Cost 值 更 小 ,因此 这 条 路 径 被 选择 作为 承载 Virtual Link 通道 流量 
的 最 优 路 径 ， 明 确 了 这 个 之 后 ， 当 R2 要 发 送 Virtual Link 通道 数据 前 往 R3 的 时 候 ， 数 
据 包 的 源 地 址 就 是 接口 Pl 的 耳 地 址 ， 而 数据 包 的 目的 地 址 就 是 P4 的 IP 地 址 。 

Virtual Link 的 Cost 值 是 不 能 直接 地 进行 配置 的 ， 这 个 值 跟 用 于 承载 Virtual Link 的 
物理 路 径 的 Cost 相关 。 因 此 R2 从 Virtual Link 到 达 对 端 (R3) 的 Cost 就 是 Pl 的 Cost 
加 上 P3 的 Cost。 同 理 ，R3 从 Virtual Link 到 达 对 端的 Cost 就 是 P4 的 Cost 加 上 P2 
的 Cost。 

另外 ，Type-5 LSA 不 会 通过 Virtual Link 传播 ， 否 则 可 能 造成 LSA 重复 泛 洪 。 

正如 本 节 最 开始 的 时 候 提 到 的 ，Virtual Link 应 该 始终 作为 一 种 临时 的 技术 手段 来 解 
决 非 骨 干 区 域 没 有 与 Area0 直接 相连 的 问题 ， 实 际 上 一 个 合理 规划 的 OSPF 网 络 不 应 该 
出 现 这 样 的 问题 。 随 意 使 用 Virtual Link 不 仅 会 使 得 OSPF 网 络 变 得 不 易于 维护 和 管理 ， 
也 使 得 其 逻辑 结构 更 为 复杂 。 男 一 个 问题 是 ， 在 网 络 中 如 果 频 繁 部 署 Virtual Link， 则 有 
可 能 引发 环 路 。 


3.3.3 ”默认 路 由 


默认 路 由 (Default Route)， 也 被 称 为 缺 省 路 由 ， 指 的 是 目的 网 络 地 址 及 网 络 掩 码 都 
为 0 的 路 由 , 通常 是 作为 路 由 器 的 “最 后 求助 对 象 ”。 当 去 往 某 个 目的 网 络 找 不 到 匹配 的 
具体 路 由 时 ， 如 果 设 备 的 路 由 表 中 存在 默认 路 由 ， 那 么 该 设备 将 使 用 默认 路 由 来 转发 数 
据 。 下 面 将 介绍 在 各 种 场景 下 ， 向 OSPF 网 络 中 发 布 默认 路 由 的 方法 。 

1. 在 常规 区 域 中 发 布 默 认 路 由 

缺 省 情况 下 ， 常 规 区 域 中 的 路 由 器 是 不 会 发 布 OSPF 默认 路 由 的 ， 即 使 它 的 路 由 表 
中 存在 一 条 默认 路 由 【该 默认 路 由 可 能 是 路 由 器 通过 其 他 协议 发 现 的 ， 例 如 RIP 等 )， 
也 需要 通过 相应 的 配置 才能 使 得 路 由 器 将 默认 路 由 发 布 到 OSPF 网 络 中 。 

在 图 3-45 所 示 的 网 络 中 ，OR 是 出 口 路 由 器 ， 它 连接 着 一 条 Internet 出 口 线路 ， 现 
在 为 了 让 内 网 用 户 访 问 Internet 的 数据 流量 能 够 被 送 达 OR 路 由 器 ， 从 而 被 转发 到 
Internet， 需 要 让 OR 同 OSPF 域 中 下 发 一 条 默认 路 由 。OR 上 可 能 已 经 配置 了 一 条 静态 
的 默认 路 由 : ip route-staitc 0.0.0.0 0.0.0.0 200.1.1.2， 但 是 显然 这 条 静态 路 由 对 于 OSPF 
域内 的 路 由 器 而 言 肯 定 是 不 可 见 的 ， 您 可 能 会 想到 使 用 路 由 引入 的 方法 (在 OSPF 配置 
视图 下 配置 import-route static) 将 这 条 说 态 的 默认 路 由 引入 OSPF, 但 是 实际 上 这 是 不 可 
行 的 ,因为 OSPF 认为 在 执行 路 由 重 分 发 时 如 果 把 默认 路 由 引入 OSPF 存在 引发 环 路 的 风险 ， 
因此 无 论 将 静态 路 由 或 是 其 他 动态 路 由 协议 的 路 由 引入 OSPF， 默 认 路 由 都 不 会 被 引入 。 

OSPF 定义 了 专门 的 命令 用 于 引入 默认 路 由 ， 壁 如 现在 要 在 OR 上 ， 将 默认 路 由 引 
入 OSPF， 则 OR 的 配置 如 下 : 


[OR]ospf 1 
[OR-ospf-l]default-route-advertise cost 10 type 2 


Default-route-advertise cost 10 type 2 这 条 命令 用 于 同 OSPF 域 发 布 一 条 默认 路 由 ， | 
这 条 默认 路 由 采用 Type-3 LSA 来 描述 ， 因此 实际 上 是 一 条 外 部 路 由 在 该 命令 中 ， COSt 
关键 字 用 于 指定 该 默认 路 由 的 cost 值 , type 关键 字 用 于 指定 路 由 的 Metric-Type。 需 要 强 
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调 的 是 ， 使 用 这 种 方式 癌 OSPF 发 布 默认 路 由 的 前 提 是 OR 的 路 由 表 中 必须 已 经 存在 一 
条 默认 路 由 ,这 条 默认 路 由 可 以 是 静态 的 ,也 可 以 是 从 其 他 动态 路 由 协议 (或 者 其 他 OSPF 
进程 ) 学 习 到 的 ， 只 有 满足 这 个 条 件 ， 默 认 路 由 才 会 被 顺利 下 发 到 该 OSPF 域 。 如 果 在 
default-route-advertise 命令 中 增加 always 关键 字 ， 则 无 论 OR 的 路 由 表 中 是 否 已 经 存 
在 默认 路 由 ， 它 都 将 始终 向 OSPF 网 络 下 发 默认 路 由 。 | 








Internet 


ISP 
200.1.1.2 


TESTEREEEIEEEEEEEEE EE A799” "EE 
着 


H 
TTT TTT /Ww) TT /YY Vr 


EE A 人 A 
有 


:GW_SWI 
: Areal : Area2 
图 3-45 ”在 常规 区 域 中 发 布 OSPF 默认 路 由 


2. 在 Stub 区 域 中 发 布 默认 路 由 

当 一 个 OSPF 区 域 被 配置 为 Stub 区 域 时 ， 该 区 域内 将 不 再 允许 Type-5 LSA 进行 泛 
洪 ， 而 该 区 域内 部 的 路 由 器 也 就 无 法 学 习 到 OSPF 域外 的 路 由 ， 那 么 这 些 路 由 器 如 何 访 
问 域外 的 网 络 呢 ? Stub 区 域 的 ABR 会 目 动 癌 该 区 域 下 发 一 条 默认 路 由 〈Type-3 LSA)， 
这 样 Stub 区 域内 的 路 由 器 就 能 够 通过 这 条 默认 路 由 将 访问 域外 的 流量 送 达 ABR， 再 由 
ABR 将 流量 转发 出 去 。 

缺 省 时 ， 这 条 默认 路 由 的 Cost 为 1， 可 以 在 这 个 Stub 区 域 的 ABR 的 OSPF 区 域 配 
置 视图 下 使 用 default-cost 命令 修改 这 个 Cost 值 。 

3. 在 Totally Stub 区 域 中 发 布 默 认 路 由 

Totally Stub 区 域 在 Stub 区 域 的 基础 上 进一步 禁止 Type-3 LSA 在 该 区 域内 泛 洪 ， 该 
区 域内 的 路 由 器 无 法 学 习 到 OSPF 域外 的 路 由 以 及 其 他 OSPF 区 域 的 路 由 ，Totally Stub 
区 域 的 ABR 会 自动 向 该 区 域 发 布 一 条 默认 路 由 〈Type-3 LSA)， 这 样 一 来 区 域内 部 的 路 
由 峰 就 能 够 通过 ABR 到 达 其 他 区 域 以 及 OSPF 域外 。 
缺 省 时 ， 这 条 默认 路 由 的 Cost 为 1， 可 以 在 这 个 Totally Stub 区 域 的 ABR 的 OSPF 

区 域 配 置 视图 下 使 用 default-cost 命令 修改 这 个 cost 值 。 

4. 在 NSSA 中 发 布 默认 路 由 

大 家 已 经 知道 ， 当 一 个 区 域 被 配置 为 NSSA 时 ， 该 区 域 将 不 再 允许 Type-4 LSA 及 
Type-$ LSA 进入 , 男 一 方面 , NSSA 人 允许 在 区 域 本 地 引入 少量 的 外 部 路 由 , 这 意味 着 NSSA 
内 的 路 由 器 将 不 会 学 习 到 该 区 域 之 外 引入 的 外 部 路 由 ， NSSA 的 ABR 会 自动 向 该 NSSA 
下 发 一 条 默认 路 由 (使 用 Type-7 LSA 描述 )。 以 图 3-46 为 例 , OR 连接 着 外 部 网 络 NET1， 
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它 将 到 达 NETI1 的 静态 路 由 引入 OSPF， 这 些 路 由 被 
引入 后 以 Type-5 LSA 来 描述 ， 并 且 在 整个 OSPF 域 
内 泛 洪 ， 而 当 Areal 被 配置 为 NSSA 后 ，R1 (ABR) 
将 阻挡 这 些 Type-5 LSA 进入 Areal 。 与 此 同时 R1 会 
问 Areal 内 目 动 下 发 一 条 默认 路 由 (使 用 Type-7 LSA : 
描述 )， 如 此 一 来 NSSA 内 路 由 融 的 路 由 表 规模 减 小 ”:… 
的 同时 ， 还 能 够 通过 这 条 默认 路 由 到 达 NET1。 这 条 
-7 LSA 的 默认 路 由 只 能 够 在 该 NSSA 内 传递 ， 
只 有 当 ABR 在 Area0 中 存在 一 个 全 了 毗邻 (Full) 
te 该 条 默认 路 由 才 会 被 下 发 。 

当然 我 们 可 能 会 面 对 为 一 种 需求 ， 束 古 NSSA (Gun ) 
内 的 路 由 喜 希 望 通过 本 区 域 的 ASBR (R2) 来 下 发 默 
认 路 由 , 那么 就 需要 手工 在 R2 上 进行 相关 配置 。R2 ”图 3-46 内 NSSA 中 注入 默认 路 由 
的 关键 配置 如 下 : 

[R2]ospf 1 


[R2-ospf-1jarea 1 
[R2-ospf-1-area-0.0.0.11nssa default-route-advertise 


完成 上 述 配 置 后 ，R2 会 向 NSSA 中 注入 一 条 使 用 Type-7 LSA 描述 的 默认 路 由 ， 这 
条 默认 路 由 只 会 在 NSSA 内 传播 ， 不 会 被 ABR 转换 成 Type-5 LSA 进入 Area0。 值 得 注 
意 的 是 ， 仅 当 NSSA 的 ASBR 在 自己 的 路 由 表 中 已 经 存在 一 条 默认 路 由 时 ， 使 用 上 述 命 
令 才 能 够 同 NSSA 注入 默认 路 由 ， 否 则 默认 路 由 将 不 会 被 注入 。 

5. 在 Totally NSSA 中 发 布 默认 路 由 

Totally NSSA 禁止 Type-3、Type-4 及 Type-5 LSA 在 该 区 域 中 泛 洪 ， 同 时 该 区 域 的 
ABR 会 向 该 区 域 中 自动 下 发 一 条 默认 路 由 (Type-3 LSA)， 这 样 NSSA 内 的 路 由 器 可 以 
通过 这 条 默认 路 由 到 达 其 他 区 域 或 者 域外 的 网 络 。 


3.3.4 报 文 认证 


在 数据 网 络 中 ， 一 个 数据 包 的 转发 路 径 是 由 转发 设备 的 路 由 表决 定 的 ， 因 此 我 们 通 
各 将 路 由 理解 为 控制 层面 的 概念 ， 只 有 当 网 络 中 的 路 由 器 拥有 正确 的 路 由 信息 时 ， 数 据 
通信 才能 够 正常 进行 。 所 以 路 由 层面 的 操作 对 于 网 络 而 言 是 非常 重要 的 ， 各 种 动态 路 由 
协议 均 在 可 靠 性 、 快 速 收 僵 、 规 避 路 由 环 路 及 安全 性 等 层面 做 了 考虑 。 以 安全 性 为 例 ， 
大 多 数 动态 路 由 协议 都 支持 报 文 认证 功能 ， 以 确保 协议 报 文 交互 的 安全 性 。 在 图 3-47 中 ， 
Rl1 及 R2 连接 在 同一 台 以 太 网 二 层 交 换 机 上 ， 两 者 在 各 自 的 接口 上 激活 OSPF， 并 形成 
邻接 关系 。 现 在 网 络 攻 击 者 在 交换 机 上 又 接 入 了 一 台 非 法 的 路 由 器 X， 并 且 也 在 接口 上 
激活 OSPF， 由 于 OSPF 在 Broadcast 网 络 中 采用 组 播 的 Hello 报 文 发 现 邻 届 ， 因 此 R1 
及 R2 很 快 在 目 己 的 GE0/0/0 接口 上 发 现 X, 并且 与 X 建 立 邻 接 关 系 。 随 后 XX 开始 向 OSPF 
中 灌 入 大 量 垃圾 路 由 ， 从 而 导致 整个 OSPF 网 络 的 路 由 计算 发 生 问 题 ， 而 此 时 网 络 的 数 
据 转 发 必 将 受到 严重 影响 。 

为 了 避免 类 似 问 题 ，OSPF 设计 了 报 文 认证 功能 。 所 有 的 OSPF 报 文 都 有 相同 的 报 
文 头 部 格式 , 在 OSPF 的 报 文 头 部 中 ， 几 个 与 认证 相关 的 字段 用 于 实现 报 文 的 认证 功能 
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如 图 3-48 所 示 。OSPF 文 持 三 种 类 型 的 认证 方式 ， 分 别 是 空 认 证 (Null Authentication )、 
闸 单 口令 认证 (Simple Password)、 密 文 认 证 〈Ctyptograhpic Authentication )， 这 三 种 认 
证 方式 对 应 的 “认证 类 型 ”字段 值 分 别 为 0、1 和 2。 


EEETEETTTTET TTT 





OR 
GEO/0/1 
GEO/O/1 
Areal0 
GEO/0/0 
GEO/0/0 
R2 总 


图 3-47 OSPF 报 文 交 互 的 安全 性 


区 域 ID (32bit) 


J i -认证 数据 (32bit) ” 
”认证 数据 (32bit) . 


图 3-48 ”OSPF 报 文 头 部 中 的 “认证 类 型 ”及 “认证 数据 ”字段 



















1. 空 认证 

缺 省 情况 下 ，OSPF 的 接口 上 使 用 的 认证 方式 为 空 认证 ， 这 意味 着 对 接口 的 OSPF 
报 文 收 发 不 做 认证 (注意 ， 昌 然 对 报 文 不 做 认证 ， 但 是 针对 报 文 的 校 验 和 还 是 需要 检查 
的 ， 两 者 不 可 混 消 )， 此 时 认证 类 型 字段 值 为 0。 

2. 简单 口令 认证 

和合 单 口令 认证 又 被 称 为 明文 认证 ， 一 个 明文 的 口令 被 包含 在 认证 数据 字段 中 用 于 认 
证 OSPF 的 报 文 收 发 ， 因 此 实际 上 这 种 认证 方式 并 不 安全 ， 只 要 网 络 环境 有 条 件 进行 报 
文身 探 , 即 可 对 捕获 下 来 的 报 文 做 分 析 , 攻击 者 就 能 够 直接 看 到 包含 在 其 中 的 明文 口令 。 
图 3-49 展示 的 是 部 署 了 简单 口令 认证 后 ， 路 由 器 发 送 的 一 个 OSPF 报 文 ， 大 家 能 从 报 文 
中 读 到 认证 类 型 字段 的 值 为 1( 抓 包工 具 显 示 Simple password)， 而 认证 数据 字段 则 显示 
的 是 “hcnp”， 这 正 是 我 们 配置 的 口令 ， 它 以 明文 的 形式 填写 在 认证 数据 字段 中 。 

3. 密 文 认证 

与 简单 口令 认证 不 同 ， 采 用 密 文 认证 时 ，OSPF 报 文中 并 不 直接 包含 用 于 认证 的 明 
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文 形式 的 口令 ， 而 是 包含 一 个 哈 希 (Hash) 值 ， 这 个 哈 希 值 是 将 用 户 配 置 的 口令 等 内 容 
经 过 MD5 算法 计算 得 到 的 结果 。MD5 算法 是 一 种 理论 上 不 可 逆 的 散 列 算法 ， 因 此 即使 
OSPF 报 文 被 捕获 ， 也 无 法 通过 报 文中 包含 的 哈 希 值 反 推 得 到 明文 口令 ， 所 以 这 种 认证 
方式 显然 要 比 简 单口 令 认证 更 加 安全 。 





| InEernet Protocol, Src: 
open shortest Path First 
BB OSPF Header 
OSPF Version: 2 
Message Type: Hello Packet (1) 
Packet Length: 44 
Source OSPF Router: 1.1.1.1 (1i1.1.1.1) 
Area ID: 0.0.0.0 (Backbone) 


Packet Checksum: Oxe499 [correct] | 
Auth Type: Simple password 
Auth Data: hcnp 

由 OSPF Hello PacKet 


图 3-49 ”OSPF 报 文 头 部 中 的 明文 口令 
图 3-50 显示 的 是 采用 密 文 认证 后 ，OSPF 报 文 头 部 的 格式 。 需 留意 报 文 格式 发 生 了 


变化 ,“ 认 证 类 型 ”字段 的 值 为 2 表示 这 个 报 文 采用 的 是 密 文 认证 的 方式 ,其 他 字段 的 描 
述 如 下 。 





























ce 
hs 本 OO 
本 : "es 1 四 有 改建 


om 
OUUU > $ Ps wf 
和 -二 5 | | 






me i 
Da ee ue eA 3 fe Se Ue rea ry PR 9 
图 3-50 ”采用 密 文 认证 后 OSPF 报 文 头 部 的 数据 格式 


。 Key-ID (Key-Identification ): 口令 标识 。 两 台 直 连 的 OSPF 路 由 右 如 果 都 激活 了 
报 文 认 证 ， 那 么 双方 的 Key-ID 及 口令 必须 一 致 。 

e 认证 数据 长 度 (Authentication Data Length): 将 口令 经 过 散 列 算法 (例如 
MD5) 计算 后 得 到 的 数据 是 追加 在 OSPF 报 文 尾部 的 (不 在 OSPF 报 文 头 部 中 )， 它 
并 不 被 当 作 是 OSPF 协议 报 文 的 一 部 分 ， 所 以 OSPF 报 文 头 部 中 的 “ 报 文 长 度 ” 字 段 
所 显示 的 值 并 不 将 认证 数据 纳入 长 度 计 算 。“ 认 证 数据 长 度 ” 字 段 显示 了 这 个 认证 数 
据 的 长 度 。 

e。 密码 序列 号 (Cryptographic Sequence Number): 一 个 持续 保持 递增 的 序列 号 ， 
用 于 OSPF 报 文 的 防 重 放 攻 击 。 假 设 一 台 以 太 网 二 层 交 换 机 上 连接 痢 两 台 路 由 器 ， 这 两 
台 路 由 器 在 接口 上 激活 OSPF 并 建立 邻接 关系 ， 随 后 有 一 台 非 法 的 路 由 器 接 入 到 了 该 交 
换 机 上 ， 这 人 台 路 由 器 捕获 其 中 一 台 路 由 器 发 送出 来 的 OSPF 报 文 ， 并 开始 发 送 自己 伪造 
的 OSPF 报 文 给 另 一 台 路 由 器 ， 它 将 所 捕获 到 的 OSPF 报 文 中 用 于 认证 的 相关 字段 的 内 容 
拷贝 到 伪造 的 报 文中 ， 试 图 将 自己 伪装 成 合法 的 OSPF 邻 届 。 在 该 场景 中 ， 密 码 序 列 号 字 
段 可 提高 网 络 的 安全 性 ， 由 于 这 个 字段 的 值 是 只 增 不 减 的 ， 因 此 当 收 到 OSPF 报 文 的 密码 
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序列 号 等 于 或 小 于 目前 的 序列 号 时 ， 路 由 器 认为 此 报 文 为 重 放 攻击 报 文 ， 于 是 将 其 丢弃 。 
3.3.5 ”转发 地 址 


在 OSPF 的 Type-5 LSA 及 Type-7 LSA 中 包含 着 一 个 特别 的 字段 一 一 转发 地 址 
(Forwarding Address，FA )，FA 的 引入 使 得 OSPF 在 某 些 特殊 的 场景 下 可 以 避免 次 优 路 
径 问 题 。 

以 图 3-51 所 示 的 场景 为 例 ，R1、R2 及 R3 三 台 路 由 器 连接 在 同一 台 以 太 网 二 层 交 
换 机 上 ,三 台 路 由 器 的 接口 PP 地 址 均 在 相同 网 段 上 ，R1 及 R2 为 OSPF 路 由 器 ， 双 方 都 
在 自己 的 GE0/0/0 接口 上 激活 OSPF， 而 R3 并 不 运行 OSPF， 它 只 是 与 R1 通过 RIP 交 
互 路 由 信息 ，R3 将 3.0.0.0/8 路 由 通过 RIP 通告 给 R1。 为 了 让 整个 OSPF 网 络 能 够 动态 
地 学 习 到 3.0.0.0/8 路 由 (图 中 省 略 了 OSPF 网 络 中 的 其 他 路 由 器 )，R1 将 RIP 路 由 引入 
OSPF，3.0.0.0/8 路 由 被 引入 后 ， 以 Type-5 LSA 的 形式 在 整个 OSPF 域内 泛 洪 。 当 OSPF 
域内 的 路 由 器 收 到 去 往 3.0.0.0/8 的 数据 包 时 ， 它 们 会 将 数据 包 发 往 引 入 这 条 外 部 路 由 的 
ASBR 一 一 R1。 以 R4 为 例 ， 它 将 发 往 这 个 
目的 网 段 的 数据 包 转 发 给 R2, 而 R2 则 将 数 
据 包 转发 给 R1， 再 由 R1 将 数据 包 转 发 给 
R3。 看 到 这 里 您 可 能 已 经 发 现 , 其 实数 据 包 
完全 没有 必要 经 由 R1l 转发 到 R3 一 一 这 是 上 典 
型 的 次 优 路 径 ， 为 何不 直接 从 R2 转发 给 
R3 呢 ? (92168123124 A 

OSPF 设计 了 FA 字段 ,可 解决 上 述 次 。 ”gi4 
优 路 径 问 题 。FA 字段 只 存在 于 Type-5 LSA 7 
及 Type-7 LSA 当中 ， 有 点 类 似 于 通 往外 部 5 
网 络 的 “出 口 (Exit)” 的 概念 。 以 Type-5 LSA \ 

Ci 、 ee sad 
i er eh i 图 3-51 ”OSPF 如 何 使 用 FA 规避 次 优 路 径 问 题 
LSA 的 链 路 状态 ID 及 LSA 中 所 包含 的 网 络 掩 码 进行 与 运算 ， 从 而 得 到 路 由 的 目的 网 络 
地 址 及 掩 码 ， 此 外 ， 该 路 由 器 会 检查 产生 这 条 LSA 的 ASBR 的 可 达 性 ， 如 果 ASBR 不 
可 达 ， 那 么 这 条 Type-5 LSA 将 不 会 用 于 计算 路 由 ， 只 有 当 ASBR 可 达 时 ， 这 条 LSA 才 
被 认为 是 有 效 的 。 此 时 如 果 LSA 中 所 包含 的 FA 为 0.0.0.0， 则 路 由 器 认为 到 达 目 的 网 段 
的 数据 包 应 该 发 往 该 ASBR， 因 此 它 将 到 达 ASBR 的 下 一 跳 地 址 作为 这 条 外 部 路 由 的 下 
一 跳 ; 而 如 果 FA 不 为 0.0.0.0, 则 路 由 右 认 为 到 达 目 的 网 段 的 数据 包 应 该 发 往 这 个 FA( 所 
标识 的 设备 ), 因此 它 将 在 目 己 的 OSPF 路 由 表 中 查询 到 达 这 个 FA 的 路 由 , 如 果 在 OSPF 
路 由 表 中 能 够 找到 匹配 这 个 FA 的 OSPF 区 域内 部 路 由 或 OSPF 区 域 间 路 由 , 则 使 用 到 达 
这 个 FA 的 下 一 跳 地 址 作为 这 条 外 部 路 由 的 下 一 跳 地 址 。 如 果 没 有 符合 上 述 条 件 的 路 由 
存在 ， 那 么 这 条 Type-5 LSA 将 不 会 用 于 外 部 路 由 计算 。 

再 回 过 头 来 看 看 图 3-51 所 示 的 例子 ， 当 R1 将 外 部 路 由 3.0.0.0/8 引入 OSPF 时 ， 会 
在 其 产生 的 Type-5 LSA 中 设置 FA， 将 该 字段 的 值 设 置 为 R3 的 接口 地 址 192.168.123.3， 
因为 R1 自己 到 达 3.0.0.0/8 的 下 一 跳 是 192.168.123.3， 这 就 有 点 像 ，R1 告诉 OSPF 域内 







#4 | 192.168.123.3/24 


.192.168.123.2/24 
GEO/0/0 : 
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的 其 他 路 由 器 :“ 你 们 要 访问 3.0.0.0/8 这 个 外 部 网 段 ,要 从 192.168.123.3 这 个 出 口 出 去 ”。 
我 们 可 以 看 看 R1 产生 的 这 条 Type-5 LSA: 


<R1>display ospf lsdb ase 3.0.0.0 


OSPF Process 1 with Router ID 1.1.1.1 


Link State Database 
Type : External 
Lsid ;3.0,0.0 
Advrtr :1.1.1.1 
Ls age :362 
Len :36 
Options :E 
Seq# : 80000001 


chksum :Ox5988 
Net mask :255.0.0.0 
TOS0 Metric :1 


E type :2 

Forwarding Address : 192.168.123.3 
Tag md 

Priority :Low 


R2 收 到 该 Type-5 LSA 后 会 进行 外 部 路 由 的 计算 , 它 发 现 该 LSA 的 FA 不 为 0.0.0.0， 
于 是 在 OSPF 路 由 表 中 查询 到 达 FA 〈192.168.123.3) 的 路 由 ， 发 现 该 FA 通过 自己 的 直 
连 路 由 (该 直 连 接口 激活 了 OSPF， 因 此 其 实 也 是 区 域内 路 径 ) 可 达 ， 因 此 它 将 外 部 路 
由 3.0.0.0/8 加 载 到 路 由 表 时 ， 将 该 路 由 的 下 一 跳 设置 为 192.168.123.3。 这 样 ， 当 R4 转 
发 到 达 3.0.0.0/8 的 数据 包 时 ， 它 将 其 转发 给 R2， 后 者 收 到 报 文 后 ， 直 接 转 发 给 R3， 而 
不 用 再 从 RI1 绕 一 下 。 

R2 的 路 由 表 如 下 : 

<R2>display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 
Destinations : ] Routes: 1 


OSPF routing table status : <Active> 
Destinations : 1 Routes: 1 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.0008 -© ASE -150 “1 D 192.168.123.3 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 
Destinations ; 0 Routes :0 


当 外 部 路 由 被 ASBR 引入 OSPF 时 ， 一 般 情 况 下 用 于 描述 这 些 外 部 路 由 的 Type-5 
LSA 的 FA 字段 值 被 设置 成 0.0.0.0， 然 而 当 满 足 某 些 特定 的 条 件 时 ，FA 字段 也 可 以 被 
ASBR 设置 成 非 0.0.0.0 的 值 。 这 些 条 件 是 : 

e 引入 外 部 路 由 的 ASBR 在 其 连接 外 部 网 络 的 接口 (外 部 路 由 的 出 接口 ) 上 激活 
了 OSPF; 

e 该 接口 没有 被 配置 为 Silent-Interface:; 
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e 该 接口 的 网 络 类 型 为 Broadcast 或 NBMA; 

e。 该 接口 的 IP 地 址 落 在 OSPF 协议 配置 的 network 命令 范围 内 。 

当 同 时 满足 上 述 四 个 条 件 时 ，FA 才 人 允许 被 设置 为 非 0.0.0.0 的 值 , 否则 FA 被 设置 为 
0.0.0.0。 






”TT 上述 考虑 的 是 非 NSSA 场景 ， 在 NSSA 中 ， 情 况 有 所 不 同 。 
3.3.6 OSPF 路 由 防 环 机 制 


OSPF 与 距离 矢量 路 由 协议 不 同 ， 运 行 OSPF 的 路 由 器 之 间 交 互 并 不 是 路 由 信息 ， 
而 是 LSA， 而 路 由 的 计算 正 是 基于 网 络 中 所 泛 潜 的 各 种 LSA 进行 的 ， 所 以 实际 上 OSPF 
路 由 的 环 路 避免 机 制 还 得 依赖 于 LSA 相关 的 诸多 设计 , 本 节 将 探讨 OSPF 在 路 由 防 环 方 
面 的 一 些 机 人 制 。 

1 区 域内 部 路 由 的 防 环 

我 们 都 知道 ， 每 台 运 行 OSPF 的 路 由 器 都 会 产生 Type-1 LSA，Type-1 LSA 用 于 描述 
路 由 右 的 直 连 接口 的 状况 (接口 PP 信息 或 所 连接 的 邻居 ， 以 及 接口 的 Cost 值 等 )， 而 且 
只 在 接口 所 属 的 区 域内 泛 洪 。Type-2 LSA 则 由 DR 产生 ， 用 于 摘 述 接 入 该 MA 网 络 的 所 
有 路 由 噩 (Router-ID ), 以 及 该 MA 网 络 的 掩 公信 息 。 得 益 于 区 域内 泛 洪 的 Type-1 及 Type-2 
LSA，OSPF 路 由 噩 能 够 “在 自己 的 脑海 中 ”还 原 区 域内 的 网 络 拓 扑 及 网 段 信息 。 路 由 
器 为 每 个 区 域 维护 一 个 独立 的 LSDB， 并 且 运 行 一 套 独 立 的 SPF 算法 。 同 一 个 区 域内 的 
路 由 器 ， 拥 有 针对 该 区 域 相同 的 LSDB， 大 家 都 基于 这 个 LSDB 计算 出 一 棵 以 自己 为 根 
的 、 无 环 的 最 短路 径 树 。 之 所 以 能 做 到 无 环 ， 是 因为 路 由 器 能 够 通过 LSA 描绘 出 区 域 的 
完整 拓扑 (包括 所 有 接口 的 Cost〉 及 网 段 信息 。 

以 图 3-52 所 示 的 网 络 为 例 ，R1、R2、R3 及 R4 的 接口 均 在 Area0 中 ， 四 台 路 由 器 
都 会 产生 Type-1 LSA 并 且 在 区 域内 泛 洪 。 另 外 由 于 以 太 网 接口 缺 省 是 Broadcast 网 络 类 
型 ， 因 此 会 进行 DR、BDR 的 选举 ，DR 会 产生 Type-2 LSA 并 在 区 域内 泛 洪 。 在 LSDB 
同步 完成 之 后 ， 每 台 路 由 器 都 知晓 了 整个 区 域 的 拓扑 及 网 段 信息 ， 这 些 都 是 通过 网 络 中 
泛 洪 的 Type-1 LSA 及 Type-2 LSA 拼凑 出 来 的 ， 如 图 3-53 所 示 。 


R1 OSPF Area0 












10.1.34.0/24 


Pe/O Cl I OI 


R4 





Serial 


100M Ethernet 





图 3-52 R11、R2、R3 及 R4 运行 OSPF 
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48，1 接口 Cost 
QR》 路 由 器 
了 











10.1.12.0/24 


10.1.34.0/24 


图 3-53 ”Area0 内 的 网 络 拓 扑 及 网 段 信息 


接 下 来 ， 每 台 路 由 器 都 以 目 己 为 根 ， 计 算 一 株 无 环 的 最 短路 径 树 ， 以 R3 为 例 ， 它 
的 最 短路 径 树 可 能 像 图 3-54 所 示 的 样子 。 


48，] 接口 Cost 
(R) 路 由 器 
1 
RH 









10.1.12.0/24 


图 3-54 R3 计算 出 的 最 短路 径 树 


所 以 ， 依 赖 Type-l 及 Type-2 LSA， 路 由 器 能 够 摘 绘 出 区 域内 的 拓扑 及 网 段 信 息 ， 
从 而 运行 SPF 算法 ,计算 出 到 达 每 个 网 段 的 最 优 路 径 ， 并 将 这 些 路 径 安 装 到 路 由 表 中 ， 
因此 区 域内 的 路 由 可 以 实现 无 环 路 。 

2. 区 域 间 路 由 的 防 环 

(1) OSPF 要 求 所 有 的 非 骨 干 区 域 必 须 与 Area0 直接 相连 ， 区 域 间 路 由 需 经 由 
Area0 中 转 。 

这 个 规则 使 得 区 域 间 的 路 由 传递 不 能 发 生 在 两 个 非 骨 干 区 域 之 间 ， 这 在 很 大 程度 上 
规避 了 区 域 间 路 由 环 路 的 发 生 ， 也 使 得 OSPF 的 区 域 架 构 在 逻辑 上 形成 了 一 个 类 似 星 型 
的 拓扑 ， 如 图 3-55 所 示 。 

(2) ABR 从 非 骨 干 区 域 收 到 的 Type-3 LSA 不 能 用 于 区 域 间 路 由 的 计算 。 

OSPF 对 ABR 有 看 严 奇 的 要 求 ， 区 域 间 路 由 传递 的 关键 点 在 于 ABR 对 Type-3 LSA 
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的 处 理 。OSPF 规定 ，ABR 在 使 用 Type-3 LSA 
计算 区 域 间 的 路 由 时 ， 只 会 使 用 其 在 Area0 内 
所 收 到 的 Type-3 LSA 进行 计算 而 从 非 骨 干 区 
域内 收 到 的 Type-3 LSA 是 不 会 用 于 路 由 计算 
的 。 这 样 可 以 有 效 地 避免 环 路 的 发 生 。 

在 图 3-56 中 ，R4 作为 一 台 ABR， 它 会 闪 
描述 到 达 Area0 及 Areal 内 各 网 段 路 由 的 
Type-3 LSA 注入 到 Area2 中 ,由 于 R3 在 Area2 
中 与 R4 建立 了 邻接 关系 ， 因 此 它 能 够 在 Area2 
中 收 到 这 些 Type-3 LSA 并 且 使 用 这 些 LSA 来 
计算 区 域 间 路 由 。 本 

然而 ， 如 果 R3 与 R2 在 Area0 中 建立 起 邻 和 ……* 

接 关 系 〈 如 图 3-57 所 示 )， 那 么 此 时 R3 便 成 为 图 3-55 ”区域 则 的 路 由 传递 

了 一 台 ABR。 现在 对 于 R3 而 言 ， 虽然 它 会 将 其 在 Area2 内 收 到 的 Type-3 LSA 存储 在 上 自 
己 的 LSDB 中 ,但 是 并 不 会 用 这 些 LSA 计算 区 域 间 的 路 由 。 它 只 可 以 使 用 目 己 在 Area0 
内 收 到 的 Type-3 LSA 进行 区 域 间 路 由 计算 。 因 此 最 终 对 于 R3 而 言 ， 无 论 收 到 的 流量 是 
访问 Area0 内 各 网 段 的 ， 又 或 是 访问 Areal 中 的 1.1.1.0/24 网 段 的 ， 都 将 其 送 往 R2， 再 
由 R2 将 流量 转发 出 去 。 





区 域 间 路 由 


一 -一 一 一 一 一 一 二 


Type-3 LSA Type-3 Ne 
一 一 俏 





图 3-57 R3 作为 一 台 ABR， 不 会 使 用 其 从 非 骨 


Area2 内 收 到 的 Type-3 LSA 用 于 计算 区 域 间 路 由 ”区 域内 收 到 的 Type-3 LSA 进行 区 域 间 路 由 计算 


这 里 有 一 个 有 意思 的 细节 ， 就 是 如 果 R3 连接 R2 的 接口 虽然 激活 了 OSPF (而 且 属 
于 Area0), 但 是 不 与 R2 形成 邻接 关系 (例如 R2 的 接口 不 激活 OSPF)， 那 么 此 时 R3 其 
实 并 不 算是 严格 意义 上 的 ABR (虽然 它 产 生 的 Type-1 LSA 中 B 比特 位 会 被 设置 为 1， 
但 是 它 在 Area0 中 并 没有 全 毗邻 的 邻 届 )， 因 此 它 可 以 将 自己 在 Area2 内 收 到 的 Type-3 
LSA 用 于 区 域 间 路 由 计算 ， 所 以 在 R3 的 路 由 表 中 能 看 到 区 域 则 路 由 1.1.1.0/24《〈 下 一 跳 
为 R4)。 但 是 一 旦 R2 与 R3 之 间 的 邻接 关系 建立 起 来 , R3 将 不 能 再 使 用 R4 注入 的 Type-3 
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LSA 计算 路 由 ， 所 以 此 时 R3 路 由 表 中 1.1.1.0/24 路 由 的 下 一 跳 切 换 为 R2， 而 且 即 使 这 
条 路 径 的 Cost 要 比 从 R4 走 更 大 (例如 将 R3 连接 R2 的 接口 Cost 调节 成 一 个 非常 大 的 
值 )，R3 也 始终 不 会 从 R4 到 达 1.1.1.0/24。 

(3) ABR 只 能 将 自己 到 达 所 连接 区 域 的 区 域内 部 路 由 注入 骨干 区 域 ( 区 域 间 路 由 则 
不 被 允许 ) ， 另 外 ， 可 以 将 其 到 达 所 连接 区 域 的 区 域内 部 路 由 及 到 达 其 他 区 域 的 区 域 间 
路 由 注入 非 骨干 区 域 。 

在 图 3-57 中 ，R3 会 在 Area2 中 发 现 Type-1 LSA (可 能 还 会 有 Type-2 LSA)，R3 可 
以 根据 这 些 LSA 计算 出 到 达 Area2 的 区 域内 路 由 ， 根 据 本 条 规则 ，R3 作为 ABR， 会 将 
描述 这 些 区 域内 部 路 由 的 Type-3 LSA 注入 Area0。 除 此 之 外 ，R3 也 会 在 Area2 中 收 到 
ABR R4 回访 区域 注入 的 Type-3 LSA〔 用 于 描述 到 达 Area0 及 Areal 内 网 段 的 区 域 间 路 
由 )， 此 时 ，R2 不 能 够 使 用 这 些 Type-3 LSA 进行 区 域 间 路 由 计算 ， 更 不 能 再 将 描述 这 些 
路 由 的 Type-3 LSA 注入 Area0〈 本 条 规则 的 前 半 句 话 )。 这 样 可 以 有 效 的 防止 区 域 间 路 
由 被 倒灌 回 Area0。 

男 一 方面 ，R3 会 在 Area0 内 发 现 Type-1 LSA (可 能 还 会 有 Type-2 LSA)， 也 会 收 到 
描述 区 域 间 路 由 的 Type-3 LSA，R3 可 以 使 用 这 些 LSA 计算 到 达 Area0 内 各 网 段 的 区 域 
内 部 路 由 ， 以 及 到 达 Areal 内 各 网 段 的 区 域 间 路 由 ， 并 且 可 以 将 描述 这 些 路 由 的 Type-3 
LSA 注入 非 骨干 区 域 一 一 Area2( 本 条 规则 的 后 半 人 句 )。 

(4) ABR 不 会 将 描述 到 达 东 个 区 域内 网 段 路 由 的 Type-3 LSA 再 注入 回 该 区 域 。 

实际 上 , OSPF 区 域 间 路 由 的 传递 行为 , 很 有 点 距离 矢量 路 由 协议 的 味道 。 以 图 3-58 
为 例 ， 在 Areal 中 ，R1 及 R2 都 会 产生 Type-1( 可 能 还 会 有 Type-2 LSA)， 两 台 路 由 器 
都 能 够 根据 这 些 LSA 计算 出 区 域内 路 由 ， 而 R2 作为 ABR 还 担负 着 另 一 个 责任 ， 就 是 向 
Area0 通告 到 达 Areal 的 区 域 则 路 由 ， 实 际 上 它 是 同 Area0 中 注入 用 于 描述 到 达 Areal 内 
各 个 网 段 的 区 域 间 路 由 的 Type-3 LSA， 而 这 些 Type-3 LSA 是 不 会 被 发 回 Areal 的 一 一 类 
似 距离 矢量 路 由 协议 的 水 平分 割 规则 。 接 下 来 R3 利用 这 些 Type-3 LSA 计算 出 到 达 Areal 
内 各 个 网 段 的 区 域 间 路 由 ， 并 且 为 Area2 注入 新 的 Type-3 LSA 用 于 描述 它们 ， 而 这 些 
Type-3 LSA US Area0。 











图 3-58 ABR 下 会 将 描述 到 达 基 个 区 城内 网 段 路 由 的 Type-3 LSA 再 注入 回 该 区 域 


综 上 ， 我 们 发 现 OSPF 为 了 区 域 间 的 路 由 防 环 设计 了 诸多 限制 。Type-4 LSA 实际 上 
与 Type-3 LSA 都 是 Summary LSA， 它 们 使 用 的 防 环 机 制 是 一 致 的 ， 因 此 不 再 鳌 述 。 

(S) Type-3 LSA 还 设计 了 Down-Bit (一 个 特殊 的 比特 位 ) ， 用 于 在 MPLS VPN 环 
境 下 进行 路 由 防 环 。 关 于 该 比特 位 的 描述 超出 了 本 书 的 范围 。 

3. 外 部 路 由 的 防 环 

当 一 台 OSPF 路 由 器 将 外 部 路 由 引入 OSPF 域 后 ， 被 引入 的 外 部 路 由 以 Type-5 LSA 
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在 整个 OSPF 域内 泛 洪 。 一 台 路 由 器 使 用 Type-5 LSA 计算 出 路 由 有 两 个 前 提 ， 其 一 是 要 
收 到 Type-5 LSA， 其 二 是 要 知道 如 何 到 达 产 生 这 个 Type-5 LSA 的 ASBR。 与 ASBR 接 
入 同一 个 区 域 的 路 由 喜 能 够 根据 该 区 域内 泛 洪 的 Type-1、Type-2 LSA 计算 出 到 达 该 
ASBR 的 最 短路 径 ， 从 而 计算 出 外 部 路 由 。 而 其 他 区 域 的 路 由 器 就 没有 这 么 幸运 了 ， 因 
为 ASBR 产生 的 Type-1 LSA 只 能 在 其 所 在 的 区 域内 泛 洪 ， 所 以 才 需 要 Type-4 LSA。 因 
此 其 他 区 域 的 路 由 器 在 收 到 Type-4 LSA 后 便 能 计算 出 到 达 ASBR 的 最 优 路 径 ， 进 而 利 
用 该 ASBR 产生 的 Type-5 LSA 计算 外 部 路 由 。 

Type-5 LSA 将 会 被 泛 洪 到 整个 OSPF 域 ， 表 面 上 看 ， 它 本 身 并 不 具有 什么 防 环 的 能 
力 , 但 是 实际 上 , 它 并 不 需要 ， 因 为 它 可 以 依赖 Type-l LSA、Type-2 LSA 及 Type-4 LSA 
来 实现 防 环 。 

为 外 ，Type-5 LSA 中 的 “Route Tag” 了 字段 被 用 于 在 MPLS VPN 环境 下 外 部 路 由 的 
防 环 。 关 于 该 字段 的 描述 超出 了 本 书 的 范围 。 


3.3.7 OSPF 路 由 类 型 及 优先 级 


到 目前 为 止 ， 我 们 已 经 知道 OSPF 路 由 包含 以 下 几 种 类 型 ， 它 们 的 优先 级 按 如 下 顺 
序 排列 : 

。 区 域内 路 由 (Intra Area Route): 区 域内 路 由 指 的 是 路 由 器 根据 区 域内 泛 洪 的 Type- 
1、Type-2 LSA 计算 得 到 的 路 由 ， 使 用 这 些 路 由 ， 路 由 器 可 以 到 达 其 直 连 区 域内 的 网 段 。 

。 区 域 间 路 由 (Inter Area Route): 区 域 间 路 由 指 的 是 路 由 器 根据 Type-3 LSA 计算 
得 到 的 路 由 ， 使 用 这 些 路 由 ， 路 由 器 可 以 到 达 其 他 区 域 的 网 段 。 

。 Typel 外 部 路 由 (Metric-Type-1 External Route): 此 处 Typel 外 部 路 由 指 的 是 路 
由 器 根据 Type-5 LSA (Metric-Type-1) 计算 出 的 外 部 路 由 。 

。 Type2 外 部 路 由 (Metric-Type-2 External Route): 此 处 Type2 外 部 路 由 指 的 是 路 
由 器 根据 Type- LSA (Metric-Type-2) 计算 出 的 外 部 路 由 。 





“TT 关于 NSSA 外 部 路 由 的 讨论 超出 了 本 书 的 范围 ， 读 者 朋友 们 可 自行 查阅 相关 文档 
获取 相应 的 知识 。 


以 区 域内 路 由 与 区 域 间 路 由 为 例 ， 当 关于 同一 个 目的 网 段 ， 茶 台 路 由 器 发 现 了 一 条 
区 域内 路 由 可 以 到 达 ， 此 外 还 有 一 条 区 域 间 路 由 可 以 到 达 ， 那 么 无 论 这 两 条 路 由 的 度量 
值 如 何 ， 该 路 由 天 都 将 始终 优选 前 者 ， 它 将 前 面 这 条 路 由 加 载 到 路 由 表 中 使 用 ， 直 到 该 
路 由 失效 ， 区 域 间 路 由 才 会 被 使 用 。 


3.4 配置 及 实现 


3.4.1 ”OSPF 基础 配置 命令 
OSPF 的 基础 配置 包含 几 个 关键 动作 ， 一 是 在 设备 上 创建 OSPF 进程 并 进入 该 进程 
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的 配置 视图 ， 二 是 创建 OSPF 区 域 ， 三 是 在 特定 的 接口 上 激活 OSPF。 

1. 创建 OSPF 进程 

要 在 设备 上 创建 一 个 OSPF 进程 ， 需 在 系统 视图 下 使 用 ospf 命令 。 在 该 命令 中 ， 有 
几 个 可 选 的 参数 ， 例 如 Process-ID (进程 号 ) 以 及 Router-ID。Process-ID 是 该 OSPF 进 
程 的 标识 符 ，OSPF 的 Process-ID 只 具有 本 地 意义 ， 即 只 在 该 设备 上 有 效 ， 它 用 于 在 设 
备 上 标识 一 个 OSPF 进程 。 网 络 管理 员 可 以 在 一 台 设 备 上 创建 多 个 OSPF 进程 ， 而 
Process-ID 用 于 将 这 些 进程 加 以 区 分 。 每 个 OSPF 进程 既 相 互 独立 ， 又 都 能 够 为 该 设备 
的 路 由 表 贡 献 路 由 。 值 得 注意 的 是 ， 由 于 Process-ID 只 具有 本 地 意义 ， 因 此 两 台 直 连 的 
设备 建立 OSPF 邻居 时 ， 并 不 要 求 双 方 的 Process-ID 一致， 当然， 除非 有 特殊 的 需求 ， 
否则 依然 建议 在 网 络 中 只 存在 一 个 连续 的 OSPF 域 时 ， 所 有 的 设备 使 用 一 致 的 
Process-ID， 这 也 是 考虑 到 网 络 管理 及 维护 的 便利 性 。 在 创建 OSPF 进程 时 ， 如 果 不 特别 
指定 Process-ID， 则 系统 会 为 该 进程 分 配 一 个 缺 省 值 作为 Process-ID。 

另外 ， 在 ospf 命令 中 还 可 关联 router-id 关键 字 并 指定 该 进程 使 用 的 Router-ID。 建 
议 在 创建 OSPF 进程 时 ， 采 用 该 关键 字 手 工 配置 Router-ID， 而 不 是 让 设备 自动 选取 。 关 
于 ospf 命令 ， 一 个 简单 的 例子 如 下 : 

[Routerlospf 1 router-id 1.1.1.1 

以 上 命令 将 在 Router 上 创建 一 个 Process-ID 为 1 的 OSPF 进程 并 进入 该 进程 的 配置 
视图 ， 男 外 ，Router 在 该 进程 中 所 使 用 的 Router-ID 是 1.1.1.1。 

2. 创建 OSPF 区 域 

在 设备 上 创建 了 OSPF 进程 后 ， 需 根据 需要 创建 OSPF 区 域 。 在 OSPF 配置 视图 下 ， 
使 用 area 命令 即 可 创建 一 个 区 域 ， La ID， 区 域 ID 可 以 使 用 十 进 
制 整数 格式 ， 或 者 点 分 十 进 制 格式 ， 例 如 ; 

[Routerjospf 1 router-id 1.1.1.1 

[Router-ospf-1]areal . 

上 述 命令 在 设备 的 OSPF 进程 1 中 创建 了 Areal ,以 上 area 1 命令 等 同 于 area 0.0.0.1。 

3.， 在 接口 上 激活 OSPF 

缺 省 时 ， 设 备 的 所 有 接口 均 未 激活 OSPF， 要 在 某 个 接口 激活 OSPF， 有 两 种 配置 方 
法 ， 我 们 首先 看 第 一 种 一 一 在 区 域 视图 中 激活 OSPF。 使 用 这 种 配置 方法 ， 需 首先 进入 
OSPF 进程 的 配置 视图 ， 然 后 再 进入 特定 的 区 域 视图 ， 最 后 使 用 network 命令 指定 下 地 
址 及 通配符 掩 码 (Wildcard-Mask), 只 有 满足 条 件 的 接口 才 会 在 相应 的 区 域 中 激活 OSPF。 
例如 network 192.168.1.0 0.0.0.2S$， 该 命令 指定 了 IP 地址 192.168.1.0 以 及 通配符 手 码 
0.0.0.255。 通 配 符 掩 码 是 一 个 用 于 决定 IP 地 址 中 哪些 比特 位 需 严格 匹配 〈 通 配 符 掩 码 中 
值 为 0 的 比特 位 表示 需 严 格 匹 配 ), 哪些 比特 无 所 谓 (通配符 掩 码 中 值 为 1 的 比特 位 表示 
可 以 无 需 匹 配 ) 的 32bit 数值 ， 它 与 同样 是 32bit 长 度 的 卫 地 址 成 对 出 现 。 例 如 network 
命令 中 192.168.1.0 与 通配符 掩 码 0.0.0.255 的 组 合 ， 匹 配 的 卫 地 址 对 象 是 192.168.1.0 至 
192.168.1.255 这 个 区 间 。 计 算 的 方法 很 简单 : 将 192.168.1.0 以 二 进 制 的 形式 进行 书写 ， 
然后 将 通配符 掩 码 0.0.0.255 也 换算 成 二 进 制 ， 与 前 者 的 每 个 比特 位 一 一 对 应 ， 如 图 3-59 
所 示 。 由 于 0.0.0.255 的 前 面 三 个 八 位 组 为 全 0， 而 最 后 一 个 八 位 组 为 全 1， 这 意味 着 被 
匹配 的 卫 地 址 对 象 必须 以 192.168.1 开头 ， 而 最 后 一 个 八 位 组 则 可 以 是 0 至 255 间 的 任 
意 值 ， 设 备 的 接口 IP 地 址 如 果 在 上 述 地 址 范围 内 ， 并 且 接 口 的 IP 地 址 网 络 掩 码 长 度 大 
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于 或 等 于 network 命令 中 指定 的 捧 码 长 度 (可 以 简单 地 理解 为 0 比特 位 的 个 数 )， 那 么 
该 接口 便 会 在 相应 的 区 域 中 激活 OSPF。 


需 严 格 匹 配 的 二 进 制 位 
无 需 匹 配 的 二 进 制 位 -一 一 一 一 


\ 
192.168.1.0 [iolololololol [rlol tollololol lololololololol! Qo0D | 


证 
000255 


图 3-59 通配符 掩 码 的 作用 


请 读者 务必 注意 将 网 络 掩 码 与 通配符 掩 码 区 分 开 来 网络 掩 码 用 于 指示 一 个 IP 地 址 
当中 ， 哪 些 比 特 位 是 网 络 部 分 ， 哪 些 比 特 位 是 主机 部 分 ， 显 然 ， 在 概念 的 定义 上 ， 通 配 
符 手 码 与 网 络 掩 码 就 是 完全 不 一 样 的 。 

在 图 3-60 所 示 的 例子 中 , R1 有 三 个 物理 接口 , 接口 编号 及 相应 的 耳 地 址 如 图 所 示 。 
R1 的 OSPF Area0 的 配置 视图 中 , 配置 了 network 172.16.1.0 0.0.0.255 命令 。 大 家 已 经 知 
道 network 命令 产生 的 最 终结 果 是 在 设备 的 特定 接口 上 激活 OSPF。 那 么 当 完 成 该 条 命 
令 的 配置 后 ，R1 的 哪些 接口 激活 了 OSPF 呢 ? 首先 network 命令 中 IP 地 址 为 172.16.1.0， 
而 通配符 掩 码 为 0.0.0.255， 这 意味 着 被 匹配 的 卫 地 址 对 象 的 前 三 个 八 位 组 必须 是 
172.16.1， 最 后 一 个 八 位 组 则 无 所 谓 ， 接 口 GE0/0/ 的 他 地 址 一 一 172.16.1.1 正好 能 够 被 
匹配 住 ， 并 且 该 接口 的 网 络 掩 码 长 度 为 24， 而 network 命令 中 指定 的 通配符 掩 码 的 长 度 
为 24， 因 此 R1 将 该 接口 在 Area0 中 激活 OSPF。 而 GE0/0/1 的 IP 地 址 为 172.16.2.1， 其 
第 三 个 八 位 组 显然 与 172.16.1.0 的 相应 数值 不 相同 ， 因 此 该 接口 耻 地 址 不 满足 条 件 ，R1 
也 就 不 会 在 这 个 接口 上 激活 OSPF。GE0/0/2 接口 也 是 一 样 的 道理 。 

您 可 能 已 经 注意 到 ， 接 口 GE0/0/0 的 IP 地址 为 172.16.1.0/24， 网 络 掩 码 是 255.255. 
255.0, 而 本 例 中 用 于 匹配 该 接口 的 通配符 掩 码 是 0.0.0.255, 正好 是 用 255.255.255.255“ 减 
去 ”网 络 掩 码 255.255.255.0 的 结果 ， 所 以 ， 通 配 符 掩 码 又 常 被 称 为 反 掩 码 。 


1] ospf 1 router-id 1.1.1.1 
Rl1-ospf-l | area 
Rl-ospf-l-area-0.0.0.0]network 172.16.1.0 0.0.0.255 





GE0/0/0 , 

R1 .172.16.1.1/24 OSPpF 
GE0/0/1 
172.16.2.1/24 
GE0/0/2 

172.17.3.1/24 






1724 16 | 1 | 0 
0|0|0 |255 


DE 
为 0， 表 示 需 匹配 ”为 !， 表 示 无 所 谓 
图 3-60 ”OSPF 的 network 命令 





TP 有 两 种 特殊 的 network 命令 书写 方法 ， 其 一 是 network XxX.X.X.Xx 0.0.0.0， 例 如 
network 192.168.1.1 0.0.0.0， 该 命令 将 使 得 IP 地 址 为 192.168.1.1 的 接口 在 相应 区 域 中 激 
活 OSPF (无 论 该 接口 的 网 络 掩 码 长 度 如 何 )。 其 二 是 network 0.0.0.0 255.255.255.255， 
该 命令 则 匹配 的 是 任意 卫 地 址 ， 一 旦 设备 配置 了 该 条 命令 ， 则 所 有 配置 了 IP 地 址 的 接 


156 HCNP 路 由 交换 学 习 指 南 


口 都 可 能 会 在 相应 区 域 中 激活 OSPF。 


当然 实际 上 在 本 例 中 ， 使 用 network 172.16.1.1 0.0.0.0 命令 也 可 以 在 Rl 的 GE0/0/0 
接口 上 激活 OSPF， 这 条 命令 在 本 例 中 起 到 的 效果 与 network 172.16.1.0 0.0.0.255 是 相同 
的 。 而 如 果 使 用 network 172.16.0.0 0.0.255.255 命令 ， 则 R1 会 在 GE0/0/0 及 GE0/0/1 接 
口上 都 激活 OSPF， 需 要 强调 的 是 ， 该 命令 被 执行 后 ，R1 在 OSPF 中 通告 这 两 个 接口 时 ， 
通告 的 是 该 接口 的 实际 网 络 掩 码 ， 也 就 是 说 network 命令 的 作用 仅仅 是 决定 设备 的 哪些 
接口 会 激活 OSPF， 而 接口 激活 OSPF 后 ，Type-l LSA 总 是 描述 接口 的 实际 网 络 掩 码 
(Loopback 接口 是 一 个 例外 的 情况 )， 不 会 受 network 命令 中 的 通配符 抢 码 的 影响 。 

以 上 提 到 的 是 在 区 域 视图 中 激活 OSPF 的 方法 ， 采 用 该 方法 ， 网 络 管理 员 可 以 配置 
区 域 所 包含 的 IP 地 址 范围 ， 从 而 使 用 一 条 命令 在 一 个 或 多 个 接口 上 激活 OSPF。 男 一 个 
激活 OSPF 的 方法 是 在 指定 接口 中 激活 OSPF。 采 用 这 种 方法 时 ， 网 络 管理 员 也 需要 首 
先 在 OSPF 进程 中 使 用 area 命令 创建 区 域 ， 然 后 进入 需 激 活 OSPF 的 接口 ， 使 用 ospf 
enable 命令 将 接口 在 特定 的 OSPF 进程 及 区 域 中 激活 。 例 如 在 图 3-60 中 ， 如 果 要 将 R1l 
的 GE0/0/0 接口 在 OSPF 进程 1 的 Areal 中 激活 OSPF， 完 整 的 配置 如 下 : 


[R1]ospf 1 router-id 1.1.1.1 # 创 建 OSPF 进程 
[Rl-ospf-1]area 1 # 创 建 Areal 
[R1-ospf-1-area-0.0.0.1]quit 

[Rl-ospf-1 ]quit 

BR1]interface GigabitEthernet 0/0/0 # 进 入 GE0/0/0 接口 视图 
[Rl1-GigabitEthemet0/0/0]ospf enable 1 area 1 # 激 活 OSPF 


3.4.2 ”案例 1: OSPF 单 区 域 配 置 


在 图 3-61 中 ，R1 有 两 个 接口 分 别 连接 着 172.16.1.0/24 及 172.16.2.0/24 网 段 ， 另 一 
个 接口 则 连接 着 路 由 器 R2。R2 创建 了 一 个 Loopback 接口 并 配置 了 IP 地 址 172.16.255. 
2/24， 该 接口 将 用 于 模拟 R2 直 连 的 一 个 网 段 。 我 们 将 在 R1 及 R2 上 运行 OSPF， 使 得 网 
络 中 的 PC 都 能 够 访问 全 网 各 个 网 段 。 


4 


: 172.16.1.0/24 


a & Loopback0 
2 2 

2.16 1 3 000 172.16.255.2/24 ; 
sa 17217.12 1/30 : 










GE0/0/2 
172.17.12.2/30 R2 | 


: 172.16.2.0/24 Areal0 


图 3-61 OSPF 单 区 域 配置 
R1l 的 配置 如 下 : 


# 创 建 OSPF 进程 1， 并 且 设 置 其 router-ID 为 1.1.1.1; 在 GE0/0/0、GE0/0/1 及 GE0/0/2 接口 上 激活 OSPF: 
[R1]ospf 1 router-id 1.1.1.1 

[R1-ospf1l]area0 

[Ri-osp 仑 1-area-0.0.0,0]netwerk 172.16.1.0 0.0.0.255 

[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 

[R1-ospf-1-area-0.0.0.0]network 172.17.12.0 0.0.0.3 
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R2 的 配置 如 下 : 

# 创 建 OSPF 进程 1， 并 且 设置 其 router-ID 为 2.2.2.2; 在 GE0/0/2 及 Loopback0 接口 上 激活 OSPF: 
[R2]ospf 1 router-id 2.2.2.2 

[R2-osp 人 1]area 0 

[R2-osp 仑 1-area-0.0.0.0]network 172.17.12.0 0.0.0.3 

[R2-osp 他 1-area-0.0.0.0]network 172.16.255.0 0.0.0.255 
完成 上 述 配置 后 ，R1 及 R2 即 会 开始 建立 OSPF 邻接 关系 ， 并 交换 LSA。 
首先 查看 一 下 R1 的 OSPF 邻居 表 : 


<R1>display ospf peer 


OSPF Process 1 with Router ID 1.1.1.1 
Neighbors 


Area 0.0.0.0 interface 172.,17.,12.1(GigabitEthernet0/0/2)'s neighbors 
Router ID: 2.2.2.2 Address: 172.17.12.2 
State: Full Mode:Nbris Mastér Priority: 1 
DRT BDR: LIRRTIZ MMI:O 
Dead timer due in 37 sec 
Retrans timer interval: 5 
Neighbor is up for 00:02:01 
' Authentication Sequence: [0] 


邻居 表 中 可 以 看 出 ,Rl 在 Area0 中 发 现 了 一 个 邻居 ,该 邻居 的 Router-ID 为 2.2.2.2， 

其 接口 卫 地 址 为 172.17.12.2， 另 外 ， 该 邻居 的 状态 为 Full， 并 且 对 端 是 Master。 由 于 两 

者 基于 以 太 网 接口 建立 OSPF 邻接 关系 ， 因 此 需要 在 这 段 链 路 上 选举 DR、BDR， 缺 省 

情况 下 接口 的 DR 优先 级 都 为 1， 那 么 Router-ID 更 大 的 R2 (GE0/0/2 接口 ) 胜出 成 为 
DR， 而 R1 (GE0/0/2 接口 ) 则 是 BDR。 
再 来 查看 一 下 R1 的 OSPF 路 由 表 : 


<R1>display ospf routing 


OSPF Process 1 with Router ID 1.1.1.1 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
172.16.1.0/24 1 Stub 172:10,.1254 Ld, 0.0.0.0 
172.16.2.0/24 ] Stub 172.16.2.254 .1 1. 0.0.0.0 
172.17.12.0/30 ] Transit | 1 0.0.0.0 
172.16.255.2/32 1 Stub 172,17.122 2 2 0.0.0.0 


Total Nets: 4 
Intra Area: 4 Inter Area:0 ASE;:0 NSSA:O 


值得 注意 的 是 display ospf routing 命令 查看 的 并 非 路 由 占 的 全 局 路 由 表 , 而 是 OSPF 
路 由 表 。OSPF 将 计算 得 出 的 OSPF 路 由 首先 存储 在 OSPF 路 由 表 中 ， 而 至 于 这 些 OSPF 
路 由 是 个 能 够 被 加 载 到 全 局 路 由 表 从 而 作为 数据 转发 的 依据 ， 那 还 要 看 路 由 优先 级 等 因 
素 。 从 上 述 输出 中 可 以 看 出 R1 已 经 通过 OSPF 发 现 了 172.16.1.0/24、172.16.2.0/24、 
172.17.12.0/30 以 及 172.16.255.2/32 四 条 路 由 。 您 可 能 已 经 发 现 了 ,了 R1 虽然 已 经 通过 OSPF 
学 习 到 了 R2 的 Loopback0 接口 路 由 ， 但 学 到 的 是 一 条 主机 路 由 ， 而 实际 上 ，R2 的 
Loopback0 接口 使 用 的 网 络 掩 码 长 度 是 24， 而 非 32。 之 所 以 出 现 这 样 的 现象 ， 是 因为 
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OSPF 将 Loopback 接口 视 为 一 个 末梢 网 络 ， 而 且 在 该 网 络 中 只 连接 看 一 个 节点， 因此 无 
论 该 接口 实际 配置 的 网 络 掩 码 是 多 少 ，OSPF 在 Type-1 LSA 中 猫 述 这 不 多 口 时 都 以 主 
机 (网 络 掩 码 为 255.255.255.255) 的 形式 进行 通告 。 

查看 一 下 R2 产生 的 Type-1 LSA: 


<R2>display ospf lsdb router 2.2.2.2 


OSPF Process 1 with Router ID 2.2.2.2 


Area: 0.0.0.0 
Link State Database 
Type :Router 
Ls id eA 
Advitr :22.2,2 
Ls age : 19 
Len :48 
Options :EE 
SEq# ; 80000009 
chksum :Ox854f 
Link count: 2 


nk TD:172.17.12.2 
Tata rE 
Link Type :TransNet 
Metric :1 

* Link ID * 72.10,255.2 
Data ;258.255.255.255 
Link Type :StubNet 
Metric :0 
Priority ' Medium 


如 果 希 望 R2 在 其 产生 的 Type-1 LSA 中 描述 Loopback 接口 的 实际 网 段 信息 (使 用 
实际 网 络 掩 码 )， 可 以 将 该 Loopback 接口 的 OSPF 网 络 类 型 修改 为 Broadcast (或 者 
NBMA))， 例 如 : 


[R2]interface LoopBack 0 
[R2-LoopBack0]ospf network-type broadcast 


完成 上 述 配 置 后 ， 再 查看 一 下 R2 产生 的 Type-1 LSA: 


<R2>display ospf lsdb router 2.2.2.2 


OSPF Process 1 with Router ID 2.2.2.2 


Area 0.0.0.0 
Link State Database 
Type : Router 
Laid 2 
Advit 22.72.2 
Ls age :6 
Len :48 ) 
Options :EE 
Seq# :8000000c 
chksum :0x5380 
Link count: 2 


VL De 
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Data ;172.17.12.2 

Link Type :TransNet 

Metric :1 

* Link ID: 172.16.2SS.0 

Data :255.255.255.0 

Link Type  : StubNet 

Metric :0 
可 以 看 到 ，R2 不 再 以 主机 的 形式 通告 Loopback0 接口 了 。 
现在 ， 来 看 一 下 Rl1 的 路 由 表 中 的 OSPF 路 由 : 
<R1>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 

~ Public routing table : OSPF 
Destinations : 1 Routes : 1 


IOSPF routing table status : <Active> 


Destinations : 1 Routes : 1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
172.16.255.0/24 OSPF 10 1 D 172.17.12.2 GigabitEthernet0/0/2 
OSPF routing table status : <Inactive> | 
Destinations : 0 Routes :0 


R1 将 路 由 172.16.255.0/24 加 载 到 了 路 由 表 。 当 然 ， 此 时 R2 也 已 经 通过 OSPF 获知 
到 达 172.16.1.0/24 及 172.16.2.0/24 的 路 由 。 这样 PC 也 就 能 够 访问 网 络 中 的 各 个 网 段 了 。 


3.4.3 ”案例 2: Silent-lnterface 


在 图 3-61 中 ，R1 的 GE0/0/0 及 GE0/0/1 接口 用 于 连接 终端 网 段 ， 在 这 两 个 网 段 中 ， 
只 存在 终端 PC， 除 此 之 外 并 无 任何 OSPF 路 由 器 存在 。 为 了 让 R2 能 够 通过 OSPF 学 习 

到 这 两 个 接口 网 段 的 路 由 ， 我 们 使 用 network 命令 在 这 些 接口 上 激活 了 OSPF， 这 样 R1 
便 会 在 其 产生 的 Type-1l LSA 中 摘 述 这 两 个 接口 。 而 另 一 方面 ， 由 于 激活 了 OSPF，RI1 
便 开 始 在 GE0/0/0 及 GE0/0/1 接口 上 周期 性 发 送 Hello 报 文 ， 莹 试 在 这 两 个 接口 上 发 现 
OSPF 邻居 ， 但 是 实际 上 正如 前 面 所 说 ， 这 两 个 直 连 网 段 中 并 无 其 他 OSPF 路 由 器 ， 因 
此 这 些 Hello 报 文 实际 上 是 增加 了 终端 PC 的 困扰 。 可 以 将 Rl1 的 GE0/0/0 及 GE0/0/1 配 
置 为 静默 接口 (Silent-Interface)， 当 接口 被 指定 为 Silent-Interface 后 ， 该 接口 将 被 禁止 收 
发 Hello 报 文 。 

R1 的 关键 配置 如 下 : 


[Rilospf 1 router-id 1.1.1.1 

[Ri1-ospf-1]jarea 0 

[R1-ospf-1-area-0.0.0.0]network 172.,16.1.0 0.0.0.255 
[R1-ospf-1-area-0.0.0.0]network 172,16.2.0 0.0.0.255 
[R1-osp 人 1]-area-0.0.0.0]jnetwork 172.17.12.0 0.0.0.3 
[Rl-ospf-1-area-0.0.0.0]quit 
[Ri-ospf-1]silent-interface GigabitEthernet 0/0/0 
[R1-ospf-1]silent-interface GigabitEthernet 0/0/1 


完成 上 述 配 置 后 ,GE0/0/0 及 GE0/0/1 接口 就 变 成 了 Silent-Interface。 使 用 display ospf 
brief 命令 ， 可 以 查看 到 这 两 个 接口 的 Silent-Interface 属性 。 虽 然 这 两 个 接口 被 指定 为 
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Silent-Interface, 但 是 由 于 已 经 使 用 network 命令 激活 OSPF, 因此 R2 依然 能 够 通过 OSPF 
学 习 到 去 往 这 两 个 接口 所 在 网 段 的 路 由 。 


<R1>display ospf brief 


OSPF Process ] with Router ID 1.1.1.1 
OSPF Protocol Information 


RouterID: 1.1.1.1 Border Router: 
Multi-VPN-Instance is not enabled 

Global DS-TE Mode: Non-Standard IETF Mode 
Graceful-restart capability: disabled 

Helper support capability :not configured 

Applications Supported: MPLS Traffic-Engineering 
Spf-schedule-interval: max 10000ms, start 500ms, hold 1000ms 
Default ASE parameters: Metric: 1 Tag: 1 Type: 2 

Route Preference: 10 

ASE Route Preference: 150 

SPF Computation Count: 11 

RFC 1583 Compatible 

Retransmission limitation is disabled ps 
AreaCount:1 NssaArea Count:0 

ExChange/Loading Neighbors: 0 

Process total up interface count: 3 

Process valid up interface count: 3 


Area; 0.0.0.0 (MPLS TE not enabled) 
Authtype: None Area flag: Normal 

SPF scheduled Count: 11 

ExChange/Loading Neighbors: 0 

Router ID conflict state: Normal 

Area interface up count: 3 


Interface: 172.16.1.254 (GigabitEthernet0/0/0) 

Cost: 1 State: DR Type: Broadcast MTU: 1500 

Priority: 1 

Designated Router: 172.16.1.254 

Backup Designated Router: 0.0.0.0 

Timers: Hello 10, Dead 40 , Poll 120, Retransmit 5, Transmit Delay 1 2 
Silent interface, No hellos 


Interface: 172.16.2.254 (GigabitEthemet0/0/1) 

Cost: 1 State: DR Type: Broadcast & MTU: 1500 
Priority: 1 

Designated Router: 172.16.2.254 

Backup Designated Router: 0.0.0:0 

Timers: Hello 10 , Dead 40 , Poll 120, Retransmit 5, Transmit Delay 1 
Silent interface, No hellos 


Interface: 172.17.12.1 (GigabitBthemet0/0/2) 

Cost: 1 State: BDR Type: Broadcast MTU: 1500 
Prionity: 1 

Designated Router: 172.17.12.2 

Backup Designated Router: 172.17.12.1 

Timers: Hello 10 , Dead 40, Poll 120,Retransmit 5 , Transmit Delay 1 
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值得 一 提 的 是 ，R1 的 GE0/0/2 接口 显然 是 不 能 够 被 配置 为 Silent-Interface 的 ， 因 为 
R1 需要 在 该 接口 上 与 R2 建立 OSPF 邻接 关系 。 


3.4.4 案例 3: OSPF 多 区 域 配 置 


在 图 3-62 中 ,RI1 及 R2 是 两 台 汇 聚 路 由 器 ， 它 们 各 自 下 挂 着 两 个 终端 网 段 ， 同 时 上 
联 核心 路 由 器 Core-Router。 我 们 计划 在 三 台 路 由 器 上 部 署 OSPFE， 并 且 采 用 了 多 区 域 
OSPF 的 设计 ， 如 图 3-62 所 示 。 现 在 要 完成 三 台 路 由 器 的 配置 ， 使 得 全 网 各 个 网 段 能 
实现 数据 互通 。 


EE 


Core-Router 


GEO/0/]l GEO/0/2 Area0 
172.16.0.2/30 172.16.0.6/30 





GEO/0/] 
172.16.0.1/30 


GE0O/0/] 
172.16.0.3/30 


TE 


ET hy SFT YY TT 


二 生 


172.16.1.0124 172.16.2.0/24 : Ie 16.9.0/24 172.16.10.0124 


TT 


图 3-62 ”OSPF 多 区 域 配 置 
R1 的 配置 如 下 : 


[Rl1lospf 1 router-id 1.1.1.1 

[R1-ospf-l larea 1 

[Rl-ospf-1-area-0.0.0.,1]network 172.16.1.0 0.0.0.255 
[Rl-ospf-1-area-0.0.0.1Inetwork 172.16.2.0 0.0.0.255 

{Ri-ospf-1-=area-0.0.0.1]quit 

[R1-ospf-1l]area 0 

[Rl1-ospf-1-area-0.0.0.0]jnetwork 172.16.0.0 0.0.0.3 

R2 的 配置 如 下 : 

[R2]ospf 1 router-id 2.2.2.2 

[R2-ospf-1jarea 2 

[R2-ospf-1-area-0.0.0.2]network 172.16.9.0 0.0.0.255 

[R2-0spf-1-area-0.0.0.2Jnetwork 172.16.10.0 0.0.0.255 

[R2-osp 人 1-area-0.0.0.2]quit 

[R2-0spf-1larea 0 

[R2-ospf 人 1-area-0.0.0.0jnetwork 172.16.0.4 0.0.0.3 


Core-Router 的 配置 如 下 : 


[Core-Router]ospf 1 router-id 3.3.3.3 
[Core-Router-ospf-1 jarea 0 
[Core-Router-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.0.3 
[Core-Router-ospf-1-area-0.0.0.0]network 172.16.0.4 0.0.0.3 


特别 需要 留意 的 是 R1 及 R2 的 配置 , 由 于 这 两 台 路 由 器 都 有 接口 在 不 同 的 区 域 中 激 
活 OSPF， 两 者 都 是 ABR， 赶 注意 在 正确 的 区 域 视 图 下 配置 network 命令 。 
完成 上 述 配 置 后 ， 首 先 查 看 一 下 Core-Router 的 OSPF 邻居 表 : 
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<Core-Router>display ospf peer 


OSPF Process 1 with Router ID 3.3.3.3 
Neighbors 


Area 0.0.0.0 interface 172.16.0.2(GigabitEthernet0/0/1)'s neighbors 
Router ID: 1.1.1.1 Address: 172.16.0.1 

State: Full Mode:Nbris Slave Priority: 1 

DR: 172:160.0.1 BDR: 172.16.0.2 MTUW'O 

Dead timer due in 37 sec 

Retrans timer interval: $5 

Neighbor is up for 00:00:41 

Authentication Sequence: [ 0 ] 


Neighbors 


Area 0.0.0.0 interface 172.16.0.6(GigabitEthernet0/0/2)'s neighbors 
Router ID: 2.2.2.2 Address: 172.16,0.5 

State: Full Mode:Nbris Slave Priority: 1 

DR: 172.16.0.5 BDR: 172.16.0.6 MTU:0 

Dead timer due in 28 sec 

Retrans timer interval: 5 

Neighbor ls up for 00:00:48 

Authentication Sequence: [ 0 ] 


从 以 上 输出 可 以 看 出 ，Core-Router 已 经 和 R1 及 R2 建立 了 全 上 毗邻 的 邻接 关系 。 接 
下 来 ， 再 看 看 Core-Router 的 路 由 表 : 


<Core-Router>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


CG 


Public routing table : OSPF 
Destinations : 4 Routes : 4 


OSPF routing table status : <Active> 


Destinations : 4 Routes : 4 
Destination/Mask Protg 、、Pre Cost Flags ”NextHop Interface 
IO NOSRR HUO 这 D 172.16.0.1 GigabitEthernet0/0/1 
IC OSPRE LO 2 D 172.16.0.1 GigabitEthernet0/0/1 
174.416.9024 OSPFE ，10 2 D 172.16.0.5 GigabitEthernet0/0/2 
VID GIOMR OSIIO 2 D 172.16.0.5 GigabitEthernet0/0/2 ~ 


OSPF routing table status ; <Inactive> 
Destinations : 0 Routes:0 


Area0 内 部 路 由 器 Core-Router 已 经 学 习 到 去 往 R1 及 R2 下 联 的 终 病 网 段 的 OSPF 
路 由 。 当 然 ， 这 些 路 由 都 是 区 域 间 路 由 ， 它 们 是 根据 R1 及 R2 在 Area0 内 泛 洪 的 Type-3 
LSA 计算 得 出 的 ， 而 Core-Router 在 计算 到 达 Areal 及 Area2 的 区 域 间 路 由 时 ， 除 了 要 
收 到 描述 这 些 网 段 的 Type-3 LSA， 还 需要 知道 ABR 的 所 在 。 作 为 ABR，R1 及 R2 在 泛 
潜 Type-1LSA 时 ,会 进行 B 比特 位 的 置 位 。 因 此 通过 Area0 内 泛 洪 的 Type-1、Type-2 LSA， 
Core-Router 能 计算 出 到 达 ABR 的 最 佳 路 径 。 使 用 display ospf abr-asbr 命令 可 查看 到 
ABR 和 ASBR 信息 : 
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<Core-Router>display ospf abr-asbr 


OSPF Process 1 with Router ID 3.3.3.3 


Routing Table to ABR and ASBR 
RtType Destination Area Cost Nexthop Type 
Intra-area 1-1.L:l 0.0.0.0 | 172.16.0.1 ABR 
Intrasarea 2.2.2.2 0.0.0.0 1 172.16.0.5 ABR 


在 Rl1 及 R2 上 查看 路 由 表 ， 可 以 看 到 两 台 路 由 器 也 都 学 习 到 了 全 网 的 路 由 ， 于 是 
Rl1 及 R2 下 挂 的 PC 可 到 达 全 网 各 个 网 段 。 


3.4.5 ”案例 4: 调整 OSPF Cost 值 


在 图 3-63 所 示 的 网 络 中 , Rl1 的 GE0/0/1 及 R2 的 GE0/0/11 接口 连接 着 一 个 相同 的 网 
段 一 一 192.168.100.0/24， 同 时 两 者 下 联 路 由 器 R3。 如 果 在 R1、R2 及 R3 的 所 有 接口 上 
都 激活 OSPF( 在 相同 的 Area 中 ), 那么 由 于 RIl 及 R2 都 会 在 其 产生 的 Type-1、Type-2 LSA 
中 描述 192.168.100.0/24 网 段 ， 并 且 网 络 中 所 有 接口 的 Cost 又 是 缺 省 的 〈( 千 兆 以 太 网 接 
口 缺 省 的 Cost 为 1 )， 那 么 最 终 在 R3 的 路 由 表 中 ， 到 达 192.168.100.0/24 的 路 由 将 会 在 
R1 及 R2 这 两 个 下 一 跳 执 行 等 价 负载 分 担 : 

<R3>display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 
Destinations ; 1 Routes : 2 


OSPF routing table status ; <Active> 


Destinations : 1 Routes ; 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.100.0/24 OSPF 10 党 D 192.168.0.2 GigabitEthernet0/0/1 
- 滑 OSPF 10 2 D 192.168.0.6 GigabitEthemet0/0/2 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


放生 要 好 效 测 出 入 10 -1800004 et Sih 
: 192.168.100.0/24 


的 报 文 时 ， 束 有 可 能 将 它们 在 两 条 上 行 链 

路 上 进行 转发 ， 然而， 如 果 希 望 这 两 条 链 

路 以 主 备 的 方式 工作 呢 ? 即 当 网 络 正常 2 

时 ，R3 将 到 达 192.168.100.0/24 的 报 文 转 GE/ 
发 给 R1， 而 当 Rl 发 生 故障 ， 又 或 者 R1-R3 ; 和 
之 间 的 互联 链 路 发 生 故障 时 ，R3 自动 将 上 
行 流量 切换 到 R2, 该 如 何 实现 ?实现 这 个 

需求 的 一 个 最 简单 的 方法 即 调整 OSPF 接 、 po 








GOEO/O/1 


192.168.0.6/30 : 


GE0/0/2 : 
192.168.0.5/30 E 
口 Cost 值 ， 从 而 影 啊 路 由 费 对 OSPF 路 由 R3 Area0 | 


的 优选 。 可 以 将 R3 的 GE0/0/2 接口 的 Cost 一 一 一 一 ei 
值 调 大 ， 这 样 当 R3 计算 路 由 时 ， 会 优选 图 3-63 调整 OSPF Cost 值 
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Cost 更 小 的 路 人 笃 ， 也 就 是 从 R1 到 达 目 标 网 段 。 
R3 的 关键 配置 如 下 : 
[R3]interface GigabitEthernet 0/0/2 
[R3-GigabitEthernet0/0/2]ospf cost 100 
使 用 display ospf interface GigabitEthernet 0/0/2 命令 可 以 查看 该 接口 的 OSPF 参数 : 
<R3>display ospf interface GigabitEthernet 0/0/2 


OSPF Process 1 with Router ID 3.3.3.3 
Interfaces 


Interface; 192.168.0.5 (GigabitEthernet0/0/2) 

Cost: 100 State: DR Type: Broadcast MTU: 1500 

Priority: 1 

Designated Router: 192.168.0.5 

Backup Designated Router: 192.168.0.6 

Timers: Hello 10 , Dead 40 , Poll 120, Retransmit $ , Transmit Delay 1 
从 以 上 输出 可 以 看 到 GE0/0/2 接口 的 Cost 值 变 成 了 100， 此 时 ，R3 的 路 由 表 如 下 : 
<R3>display ip routing-table protocol ospf 
Route Flags: R-- relay, D - download to fib 


Public routing table ; OSPF 
Destinations : 1 Routes: 1 


OSPF routing table status : <Active> 


Destinations : 1 Routes: 1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.100.0/24 OSPF 10 2 D 192.168.0.2 -一 GigabitEthernet0/0/1 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


这 是 符合 预期 的 ， 现 在 ， 当 R3 收 到 去 往 192.168.100.0/24 的 报 文 时 ， 就 会 将 它们 转 
发 给 及 1。 


3.4.6 ”案例 5: OSPF 特殊 区 域 


在 图 3-64 所 示 的 网 络 中 ，R1、R2 及 R3 按 图 示 要 求 运行 OSPF，R3 将 自己 路 由 表 
中 的 静态 路 由 引入 OSPF， 使 得 域内 的 路 由 需 都 能 够 学 习 到 这 些 外 部 路 由 。 所 有 路 由 需 
的 Router-ID 均 为 x.x.x.x， 其 中 x 为 设备 编号 。 本 节 将 在 这 个 网 络 中 ,完成 OSPF 各 种 特 
殊 区 域 的 实验 及 验证 。 


ELELLEELEL LE ELLE 


:: atomport-route 
GE0/0/0 ;; GEO/0/1 EE 


ew 10 1.12.1/24 10.1 .23.2/24 ; 静态 路 由 
10.3.1.0/24 
GE0/0/0 GEO/0/0 10.3.2.0/24 


RI 10.1.12.2/24 R2 10.1.23.3/24 R3 
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1. 完成 基础 配置 

R1 的 配置 如 下 : 

[Rijospf 1 router-id 1.1.1.1 

[Rl-ospf-1larea 1 

[Rl1-ospf-1-area-0.0.0.1 Jnetwork 10,1.12.0 0.0.0.255 
R2 的 配置 如 下 : | 
[R21]ospf 1 router-id 2.2.2.2 

[R2-0spf-1]area 1 

[R2-0spf-1-area-0.0.0.11network 10.1.12.0 0.0.0.255 
[R2-osp 人 1-area-0.0.0.1]qult 

[R2-0ospf-1larea 0 

[R2-osp 人 1-area-0.0.0.0]network 10.1.23.0 0.0.0.255 


R3 的 配置 如 下 : 


[R3]ip route-static 10.3.1.0 24 NULLO 
[R3]ip route-static 10.3.2.0 24 NULLO 


[R3]ospf 1 router-id 3.3.3.3 

[R3-ospf-ljarea 0 
[R3-0spf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255 
[R3-0spf-1-area-0.0.0.0]quit 
[R3-ospf-1]import-route static 





让 ip route-static 10.3.1.0 24 NULL0 及 ip route-static 10.3.2.0 24 NULL0 命令 用 于 在 R3 
上 创建 两 条 静态 黑洞 路 由 。 实 际 上 就 本 例 来 说 ， 这 两 条 静态 路 由 是 没有 有 具体 意义 的 ， 我 们 


仅仅 是 为 了 实验 的 目的 在 R3 的 路 由 表 中 写 入 这 两 条 静态 路 由 ， 方 便 R3 将 其 引入 OSPF。 


完成 上 述 配 置 后 ， 观 察 一 下 Rl1 的 路 由 表 : 
[Rll]display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


“Pubtic routing table : OSPF 
Destinations : 3 Routes : 3 


OSPF routing table status : <Active> 


Destinations : 3 Routes : 3 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.23.0/24 -OSPF 和 D 全 4。 GigabitEthernet0/0/0 
0.3.10/24* OQ-ASE-" 150 :1 D 10.1.12.2 GigabitEthernet0/0/0 
10.3.2.0/24 OASE 150 1 D 10.1.12.2 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


从 上 述 输出 可 以 看 出 ，R1 学 习 到 了 区 域 则 路 由 及 外 部 路 由 , 它们 分 别 是 区 域 间 的 路 


由 10.1.23.0/24 以 及 R3 引入 的 外 部 路 由 10.3.1.0/24、10.3.2.0/24。 两 条 外 部 路 由 在 路 由 表 
中 标记 为 O ASE (OSPF AS External)。 接 下 来 看 看 R1 的 LSDB: 


[Rlldisplay ospflsdb 


OSPF Process ] with Router ID 1.1.1.1 
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Link State Database 
Area: 0.0.0.1 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 2 2 185 36 80000004 1 
Router 1 1 183 36 80000005 1 
Network 10.1.12.2 2.2.2.2 133 32 80000002 0 
Sum-Net 10.1.23.0 7 181 28 80000001 1 
Sum-Asbr 3.3.3.3 ZF 2 83 28 80000001 | 
AS Exteral Database 
Type LinkState ID AdvRouter Age Len Sequence Metric 
External 10.3.1.0 3,3.3.3 2 36 80000001 1 
Extermal 10.3.2.0 3 二 36 80000001 1 


以 上 输出 的 是 R1 的 LSDB， 从 中 可 以 看 出 在 Areal 内 存在 着 Type-1、Type-2、Type-3 
及 Type-4 LSA， 其 中 Type-3 LSA 描述 的 是 到 达 10.1.23.0/24 的 区 域 间 路 由 ，Type-4 LSA 
描述 的 是 到 达 ASBR， 也 就 是 R3 的 路 由 ， 这 条 LSA 由 ABR R2 产生 。 此 外 ， 在 RI1 的 
LSDB 中 ， 还 能 看 到 两 条 Type-5 LSA， 这 两 条 LSA 是 由 R3 产生 、 用 于 描述 外 部 路 由 
10.3.1.0/24 及 10.3.2.0/24 的 , 并 且 它 们 将 在 整个 OSPF 域内 泛 洪 。 此 时 R1 是 拥有 到 达 全 
网 各 个 网 段 的 路 由 信息 的 。 

2. 将 Areal 配置 为 Stub 区 域 ， 观察 路 由 及 LSA 的 变化 

现在 来 验证 一 下 Stub 区 域 的 相关 特性 , 首先 将 Areal 配置 为 Stub 区 域 ,Rl1 的 OSPF 
配置 修改 如 下 : 


[Rllospf 1 
[Rl1-ospf-1]area 1 
[Rl1-ospf-1-area-0.0.0.1]stub # 将 Areal 配置 为 Stub 区 域 


R2 的 OSPF 配置 修改 如 下 : 


[R2jospf 1 
[R2-0ospf-1]area 1 | 
[R2-osp 人 1-area-0.0.0.1]stub # 将 Areal 配置 为 Stub 区 域 


注意 ,一旦 某 个 区 域 被 设计 为 Stub 区 域 ， 则 所 有 连接 到 这 个 区 域 的 路 由 器 都 要 将 该 
区 域 配置 为 Stub 区 域 ， 否 则 OSPF 邻居 关系 无 法 正确 建立 。 完 成 上 述 配置 后 ，Areal 就 
变 成 了 一 个 Stub 区 域 。Stub 区 域 的 ABR (R2) 会 阻挡 Type-4、Type-5 LSA 进入 该 区 域 ， 
如 图 3-65 所 示 ， 这 使 得 这 个 区 域内 LSA 泛 洪 的 数量 在 一 定 程度 上 被 减少 了 ， 从 而 该 区 
域 中 路 由 器 的 路 由 表 规 模 也 会 相应 的 变 小 ， 设 备 负担 将 会 有 所 降低 ， 这 个 优势 在 R3 引 
入 大 量 的 外 部 路 由 时 尤其 明显 。 





9) Type-4 Type-5 LSA 






人 Type-3 LSA、 默 认 路 由 (Type-3 LSA) 


: : : «lm port route 
es GEO/0/0 “、 GEO/O/] > ”静态 路 由 
10.3.1.0/24 
GE0/0/0 写 坏 GEO/0/0 10.3.2.0/24 
RI R2 R3 
: Areal Stub 旺 Area0 


NO 


图 3-65 将 Areal 配置 为 Stub 区 域 
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现在 R1 将 不 会 再 学 习 到 引入 OSPF 的 外 部 路 由 。 另 外 ，R2 会 问 Areal 下 发 一 条 使 
用 Type-3 LSA 描述 的 默认 路 由 ， 使 得 Areal 内 的 路 由 器 能 够 使 用 这 条 默认 路 由 、 通 过 
R2 访问 OSPF 域外 的 网 络 。 再 来 观察 一 下 R1 dhs 

<R1>display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib \ 


Public routing table : OSPF 
Destinations : 2 Routes : 2 


OSPF routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 OSPF 10 2 D 10.1.12.2 GigabitEthernet0/0/0 
10.1.23.0/24 OSPF 10 2- D 10.1.12.2 GigabitEthernet0/0/0 


OSPF touting table status : <Inactive> 
Destinations : 0 Routes :0 


相 比 于 Areal 为 常规 区 域 的 时 候 ， 该 区 域 被 设置 为 Stub 区 域 后 ，R1 的 路 由 表 更 简 
洁 了 。 再 来 看 看 R1 的 LSDB: 


[R1]display ospf lsdb 


OSPF Process 1 with Router ID 1.1.1.1 


Link State Database 
Area: 0.0.0.1 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 2 2 133 36 80000005 1 
Router 1.1.1.1 Lolol,# 137 36 80000005 ] 
Network ”10.1.12.2 2.2.2.2 133 32 80000002 0 
SumsNet “0.0.0.0 2 182 80000001 1 
Sum-Net 10.1.23.0 2.2.2.2 182 80000001 1 


显然 , R1 的 LSDB 也 精简 了 ， 此 时 在 Rl 的 FT 中 ，Areal 内 不 再 有 Type-4 LSA， 
LSDB 中 也 不 会 出 现 Type-5 LSA， 而 仅 有 Type-1、Type-2 及 Type-3 LSA。 

3. 将 Areal 配置 为 Totally-Stub 区 域 ， 观 察 路 由 及 LSA 的 变化 

如 果 希 望 进一步 减少 Areal 内 的 LSA 泛 洪 , 则 可 以 将 OSPF 区 域 间 的 路 由 也 阻挡 邱 。 
在 上 一 个 需求 的 配置 基础 上 ，R2 的 OSPF 配置 做 如 下 修改 : 


[R2]ospf 1 
[R2-ospf-1l]area 1 
[R2-ospf 人 -1-area-0.0.0.1]stub no-summary 


Stub no-summary 命令 是 需 在 Areal 的 ABR 上 配置 的 ，no-summary 关键 字 的 意 
义 是 阻挡 Summary LSA 进入 该 区 域 。 这 样 Areal 丈 变 成 了 Totally-Stub 区 域 ，Areal 的 
ABR (R2) 将 阻挡 Type-3、Type-4 及 Type-5 LSA 进入 Areal， 这 意味 着 Areal 内 的 路 
由 器 将 不 会 再 学 习 到 去 往 其 他 区 域 的 路 由 ， 以 及 到 达 OSPF 域外 的 路 由 ， 这 使 得 它们 
的 路 由 表 的 体积 大 大 减 小 了 。 同 时 R2 作为 Areal 的 ABR， 会 自动 问 Areal 下 发 一 条 
默认 路 由 ， 这 条 默认 路 由 是 使 用 Type-3 LSA 描述 的 ， 如 图 3-66 所 示 。 这 样 当 R1 要 访 
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问 本 区 域 之 外 的 网 络 时 ， 束 可 以 通过 这 条 夭 认 路 由 将 数据 转发 到 ABR， 再 由 ABR 将 
数据 转发 出 去 。 


9 Type-3、Type-4、Type-5 LSA 





人 OO 默认 路 由 〈Type-3 LSA) 






< lm port-route 
~ GEO/0/0 = GEO/O/] 静态 路 由 
10.3.1.0/24 
GEO0/0/0 GE0/01/0 写 硬 1032 0/24 
R2 R3 


RI 


Areal Totally-Stub i : Area0 


WTITETITTT 


图 3-66 将 Areal 配置 为 Totally-Stub 区 域 


完成 配置 后 再 看 看 R1 此 时 的 路 由 表 : 
<R1l>display ip routing-table protocol ospf 
Route Flags: R.- relay, D - download to fib ~ 


Public routing table : OSPF 
Destinations : 1 Routes: 1 


OSPF routing table status ; <Active> 


Destinations : 1 Routes : 1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 -OSPF 10 2 D 10.1.12.2 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


R1 的 路 由 表 已 经 被 极 大 地 简化 了 ， 现 在 只 有 一 条 0.0.0.0/0 的 默认 路 由 ， 除 此 之 外 ， 
区 域 间 的 路 由 10.1.23.0/24 以 及 域外 路 由 10.3.1.0/24 和 10.3.2.0/24 都 已 经 消失 ，R1 的 负 
担 将 变 得 非常 小 ， 并 且 当 它 需 要 访问 这 些 网 络 时 ， 又 可 以 通过 这 条 默认 路 由 到 达 。 再 来 
看 看 R1 此 时 的 LSDB: 


<R1>display ospf lsdb 


OSPF Process 1 with Router ID 1.1.1.1 


Link State Database 
Area: 0.0.0.1 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 人 2 3 36 80000006 1 
Router， 1.1.1.1 本 本局 ， 3 36 80000009 1 
Network 10.1.12.1 A 3 32 80000001 0 
Sum-Net 0.0.0.0 F222 10 28 80000001 l 


从 以 上 输出 可 以 看 出 R1 的 LSDB 是 非常 简洁 的 。 
4. 将 Areal 配置 为 NSSA， 并 在 Rl1 上 引入 少量 外 部 路 由 
现在 网 络 需求 发 生 了 变化 ， 由 于 Areal 中 的 R1 接着 一 个 非 OSPF 的 网 络 ， 它 需要 
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将 少量 的 外 部 路 由 引入 OSPF， 从 而 让 域内 的 OSPF 路 由 器 能 够 获取 到 相应 的 外 部 路 由 ， 
但 是 又 希望 保持 Areal 的 Stub 区 域 特性 ， 那 么 可 以 将 Areal 配置 为 NSSA。 在 上 一 个 需 
求 的 配置 基础 上 ，R1 的 配置 修改 如 下 : 


[了 1]ospf 1 

[R1-osp 人 ljarea 1 

[R1-osp 他 1-area-0.0.0.1jundo stub 
[R1-ospf-1-area-0.0.0.1]nssa 


在 上 面 的 配置 中 , 我 们 首先 取消 了 Areal 的 Stub 特性 , 然后 将 该 区 域 配 置 为 NSSA。 
接 下 来 即 可 在 R1 上 将 外 部 路 由 引入 OSPF， 在 本 案例 中 ， 在 R1 上 创建 一 条 静态 路 由 用 
于 测试 并 将 其 引入 OSPF 即 可 : 

[R1]ip route-static 10.1.1.0 24 NULL0- # 用 于 模拟 外 部 路 由 


[RHUospf 1 
[R1-ospf-1 limport-route static 
R2 的 配置 修改 如 下 : 
[R2]ospf 1 
[R2-ospf-1]jarea 1 
[R2-ospf-1-area-0.0.0.1]undo stub 
[R2-ospf-1-area-0.0.0.1]nssa 


注意 ， 一 旦 某 个 区 域 被 指定 为 NSSA， 则 所 有 连接 到 这 个 区 域 的 路 由 器 都 要 进行 相 
应 的 配置 ， 否 则 邻居 关系 的 建立 将 出 现 问 题 。 完 成 上 述 配 置 后 ，Areal 就 变 成 了 一 
NSSA。NSSA 的 ABR R2 将 阻挡 Type-4、Type-5 LSA 进入 该 区 域 ( 这 个 特点 与 Stub 区 
域 是 一 样 的 )， 因 此 Areal 内 的 路 由 器 将 不 会 学 习 到 R3 引入 的 外 部 路 由 。ABR R2 会 问 
Areal 下 发 一 条 Type-7 LSA 的 默认 路 由 ,使 得 该 区 域内 的 路 由 器 能 够 通过 这 条 上 默认 路 由 
从 R2 到 达 域 外 网 络 。 

男 一 方面 ，Areal 又 被 允许 在 该 区 域 直 接 引 入 外 部 路 由 。 当 R1 引入 外 部 路 由 到 OSPF 
时 , R1 将 产生 Type-7 LSA 用 于 描述 这 些 外 部 路 由 ,这些 LSA 只 在 Areal 内 泛 洪 。Areal 
的 ABR R2 会 收 到 这 些 Type-7LSA, 并 用 于 自己 的 外 部 路 由 计算 , 同时 , 它 还 会 同 Area0 
中 注入 Type-5 LSA 用 于 描述 10.1.1.0/24 路 由 ， 也 就 是 类 似 于 Type-7 LSA 到 Type-5 LSA 
的 转换 过 程 ， 如 图 3-67 所 示 ， 从 而 OSPF 域 中 其 他 区 域内 的 路 由 需 都 能 学 习 到 10.1.1.0/24 











这 条 外 部 路 由 。 
人 Type-4、Type-5 LSA 
人 OO Type-3、 默 认 路 由 (Type-7 LSA) 
: Areal NSSA i Area0 < 一 iiimportroute 
se GEO/0/0 sit GEO/O/] 静态 路 由 
静态 路 由 @3 一 一 10.3.1.0/24 
10.1.1.0/24 GEO0/0/0 i GEO0/0/0 “i 10.3.2.0/24 
RI1 R2 R3 
Import-route Mmm,—> a i ey, : 
i re 


图 3-67 将 Areal 配置 为 NSSA 
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首先 查看 一 下 Rl1 的 LSDB: 


[Rl]display ospf lsdb 


OSPF Process 1 with Router ID 1.1.1.1 


Link State Database 
Area: 0.0.0.1 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router ep | 2.2.2.2 67 36 8000000B 1 
Router | | 3 36 8000000C 1 
Network 10.1.12.1 1 | 63 32 80000002 0 
Sum-Net 10.1.23.0 2 et 287 28 80000001 1 
NSSA 10.1.1.0 l,l | | 36 80000001 1 
NSSA 0.0.0.0 4 287 36 80000001 1 


从 Rl 的 LSDB 可 以 看 出 ，Areal 中 泛 洪 的 LSA 有 Type-1、Type-2 及 Type-3 LSA， 
此 外 还 有 两 条 Type-7LSA， 这 两 条 Type-7 LSA 中 , 一 条 是 R1 产生 的 ， 用 于 描述 其 自身 
引入 的 外 部 路 由 10.1.1.0/24， 男 一 条 则 是 R2 自动 产生 的 ， 是 一 条 默认 路 由 。 再 看 看 RI1 
的 路 由 表 : 

<R1>display ip routing-table protocol ospf Wi 

Route Flags: R - relay, D - download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table ; OSPF 
Destinations : 2 Routes :2 


OSPF routing table status : <Active> 


Destinations :; 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 QO_NSSA 150 1 D 10-4:t2.2 GigabitEthernet0/0/0 
10.1.23.0/24 OSPF sf os D 10 12 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


青 看 看 R3 的 LSDB: 


<R3>display ospf lsdb 


OSPF Process 1 with Router ID 3.3.3.3 


Link State Database 

Area: 0.0.0.0 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 22 2 2.2.02 392 36 8000000D 1 
Route VTS 3.3.3.3 375 36 8000000E 1 
Network 10.1.23.3 3.3.3.3 375 32 80000006 0 
Sum-Net 10.1.12.0 372 639 28 8000000A 1 


AN 


AS External Database Ny 
Type LinkState ID AdvRouter Age Len Sequence Metric 


External 10.3,1,0 3 3 736 36 80000006 1 
Extemal 10.3.2.0 .3.3 736 36 80000006 1 


Bxternal “10.1,.1.0 pA ds 497 36 80000001 1 
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R3 的 LSDB 中 包含 看 三 条 Type-5 LSA， 其 中 两 条 LSA 是 目 己 产生 的 ， 用 于 描述 外 
部 路 由 10.3.1.0/24 及 10.3.2.0/24， 而 男 外 一 条 ， 则 是 R2 产生 的 ， 用 于 描述 外 部 路 由 
10.1.1.0/24， 显 然 ，R2 已 将 目 己 从 Areal 内 收 到 的 Type-7 LSA 转换 成 了 Type-5 LSA 并 
注入 到 了 Area0 中 。 在 R3 的 LSDB 中 ， 仔 细 观 察 你 会 发 现 并 没有 看 到 Type-4 LSA， 这 
是 因为 对 于 Area0 而 言 ，R2 及 R3 都 是 ASBR， 而 且 它 们 都 连接 在 同一 个 区 域 Area0 中 ， 
因此 通过 区 域内 的 拓扑 即 可 发 现 引 入 相应 外 部 路 由 的 ASBR， 所 以 无 需 Type-4 LSA。 

R3 的 路 由 表 如 下 : 

<R3>display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 
Destinations : 2 Routes : 2 


OSPF routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.1,0/24 © ASE 150 1 D 10.1.23.2 GigabitEthemet0/0/0 
10.1.12.0/24 . OSPF 10 2 D 10.1.23.2 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


5. 将 Areal 配置 为 Totally NSSA， 进 一 步 阻 挡 Type-3 LSA 

现在 ， 在 上 一 个 步骤 的 基础 上 ， 进 一 步 阻挡 到 达 其 他 区 域 的 路 由 【〈 区 域 间 路 由 ) 进 
入 Areal， 通 过 将 Areal 配置 为 Totally NSSA 来 实现 这 个 需求 。 在 之 前 所 做 的 配置 基础 
上 ，R2 增加 如 下 配置 : 


[R2]ospf 1 
~ [R2-ospf-l1]area ! 
一 [R2-ospf-1-area-0.0.0.1jnssa no-summary 


Nssa no-summary 命令 中 的 no-summary 关键 字 将 会 使 得 R2 不 再 向 Areal 内 注入 
Type-3 LSA( 除 了 默认 路 由 ), 这样 Areal 内 将 不 会 再 存在 摘 述 区 域 间 路 由 的 Type-3 LSA， 
R1 也 就 不 会 学 习 到 任何 区 域 间 路 由 ， 如 图 3-68 所 示 。 来 看 一 看 R1 的 LSDB: 


<Rl1>display ospf lsdb 


OSPF Process 1 with Router ID 1.1.1.1 


Link State Database 
Area: 0.0.0.1 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 2.2.2.2 2.2.2.2 2 36 80000014 1 
Router Ll:Tsl EE 下 36 80000016 l 
Network 10.1.12.2 这 :2 过 2 32 80000002 0 
Sum-Net 0.0.0.0 2 147 28 80000001 1 
NSSA 10.1.1.0 Ta 5 36 80000005 1 
NSSA 0.0.0.0 和 22 学 139 36 80000005 1 


此 时 在 Rl 的 LSDB 中 ，Areal 内 就 只 有 Type-1 LSA、Type2-LSA、Type7-LSA 以 及 
一 条 Type-3 LSA 描述 的 默认 路 由 。 实 际 上 您 可 能 还 会 发 现 一 条 Type-7 LSA 摘 述 的 默认 
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路 由 ， 当 NSSA 内 同时 存在 Type-3 LSA 及 Type-7 LSA 描述 的 默认 路 由 时 ， 路 由 器 会 优 
先 使 用 Type-3 LSA 的 默认 路 由 进行 计算 ， 所 以 姑且 忽略 这 条 Type-7 LSA 的 默认 路 由 。 





C9 Type-3、Type-4、Type-S LSA 








人 默认 路 由 (Type-3 LSA) 


WA 
人 


Areal0 «lm port-route 


GE0/0/0 aie GEO/O/] 静态 路 由 
静态 路 由 3 一 一 一 10.3.1.0/24 
10.1.1.0/24 GEO/O/0 友和 GE0/0/0 10.3.2.0/24 
R2 R3 


Import-rout | 


: Areal Totally NSSA 








A 


Type-7 LSA Type-S LSA 
图 3-68 将 Areal 配置 为 Totally NSSA 


3.4.7 ”案例 6: Virtual Link 的 配置 


在 图 3-69 中 ，R1、R2 及 R3 三 台 路 由 器 运行 了 OSPF， 网 络 中 规划 了 两 个 区 域 ， 其 
中 R2 及 R3 在 Area23 中 建立 了 邻接 关系 。 现 在 R2 将 直 连 接口 GE0/0/1 在 Area0 中 激活 
OSPF， 这 样 R2 在 Area0 中 泛 洪 的 Type-1 LSA 将 包含 描述 其 直 连 接口 GE0/0/1 的 信息 。 
R3 可 以 通过 Area0 内 泛 洪 的 Type-1、Type-2 LSA 计算 出 到 达 192.168.2.0/24 的 区 域内 路 
由 。 为 一 方面 ，R2 作为 ABR， 也 会 将 描述 区 域 间 路 由 192.168.2.0/24 的 Type-3 LSA 注 
入 Area23。 那 么 R3 势必 能 够 通过 该 LSA 计算 出 到 达 192.168.2.0/24 的 区 域 间 路 由 ， 现 
在 ， 它 就 有 两 条 路 由 可 以 到 达 这 个 目标 网 段 ，R3 究竟 会 选择 通过 R1 还 是 R2 到 达 该 网 
段 呢 ? 答案 是 R1。 虽 然 ， 这 条 路 径 的 Cost 要 更 劣 〈 相 比 于 从 R2 到 达 )。 造 成 这 个 结果 
的 原因 是 ，R3 是 一 台 ABR， 它 不 能 够 使 用 自己 在 非 0 区 域 中 收 到 的 Type-3 LSA 来 计算 
区 域 则 路 由 ， 因 此 无 论 路 径 的 Cost 如 何 ，R3 将 始终 选择 从 R1 到 达 192.168.2.0/24。 此 
时 R3 的 OSPF 路 由 表 如 下 : 


<R3>display ospf routing 


OSPF Process 1 with Router ID 3.3.3.3 


Routing Tables 
Routing for Network ~ 
Destination Cost Type NextHop AdvRouter Area 
192.168.13.0/24 1 Transit 192.168.13.3 3.3.33 0.0.0.0 
192.168.23.0/24 1 Transit 192,168.23.3 PR PR th 0.0.0.23 
192.168.2.0/24 2 Stub 192.168.13.1 2.2.22 0.0.0.0 
192.168.12.0/24 2 Transit 192.168.13.1 ol 0.0.0.0 


‘Total Nets: 4 、 
Intra Area: 4 Inter Area:0 ASE:0 NSSA:0 


基于 目前 的 情况 ， 如 果 想 让 R3 选择 从 R2 到 达 192.168.2.0/24， 该 怎样 操作 呢 ? 一 
个 个 单 直接 的 方法 是 ， 在 R2 及 R3 之 间 跨 越 Area23 建立 一 条 Virtual Link， 使 得 R2 能 
够 借助 这 条 Virtual Link 直接 将 Type-1 LSA 发 送 给 R3。 
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PoPTITITTT TT 


R2 
Router=ID 2.2.2.2 






192.168.13.1 和 e 192.168.23.2 


低 带 宽 链 路 \、 /高 带宽 链 路 


Area23 


R3 
Router-ID 3,3.3.3 


图 3-69 ”使 用 Virtual Link 影响 OSPF 路 径 选择 


R2 关键 配置 如 下 : 

[R2]ospf 1 

[R2-0spf-1]area 23 

[R2-osp 人 1-area-0.0.0.23]vlink-peer 3.3.3.3 

R3 关键 配置 如 下 : 

[R3]ospf 1 

[R3-ospf-1]area 23 

[R3-osp 人 -1-area-0.0.0.23]vlink-peer 2.2.2.2 

完成 上 述 配置 后 , R2 及 R3 即 会 建立 一 条 Virtual Link, 这 条 Virtual Link 穿越 Area23 
建立 ， 使 用 display ospf vlink 命令 可 查看 关于 Virtual Link 的 相关 信息 : 


<R3>display ospf vlink 


OSPF Process 1 with Router ID 3.3.3.3 
Virtual Links 


Virtual-link Neighbor-id -> 2.2.2.2, Neighbor-State: Full 


Interface: 192.168.23.3 (GigabitEthernet0/0/2) 

Cost: 1 State: P-2-P Type: Virtual 

Transit Area: 0.0.0.23 

Timers: Hello 10 , Dead 40 , Retransmit $ , Transmit Delay 1 
GR State: Normal 


从 上 述 输 出 可 以 看 出 ，R2 与 R3 之 间 的 Virtual Link 已 经 建立 完毕 ， 状 态 为 Full， 而 
且 Cost 为 1。 再 来 看 一 下 此 时 R3 的 OSPF 路 由 表 : 


<R3>display ospf routing 


OSPF Process 1 with Router ID 3.3.3.3 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
192.168.13.0/24 ] Transit 192.168.13.3 3.3,.33 0.0.0.0 
192.168.23.0/24 ] Transit 192.168.23.3 ,33.3 0.0.0.23 
192.168.2.0/24 1 Stub 192.168.23.2 ye lp a 0.0.0.23 
192.168.12.0/24 2 Transit 192.168.13.1 uy Wh he 0.0.0.0 
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192.168.12.0/24 2 Transit 192.168.23,2 a ip 0.0.0.23 


Total Nets; $ 
Intra Area: 5 Inter Area:0 ASE:0 NSSA:0 


192.168.2.0/24 路 由 的 下 一 跳 变 成 了 192.168.23.2, 因此 R3 到 达 该 网 段 的 下 一 跳 就 切 
换 到 了 R2， 即 使 用 高 种 宽 链 路 来 转发 去 往 目 标 网 段 的 流量 ， 达 到 了 我 们 的 了 预期 。 


3.4.8 案例 7: OSPF 报 文 认证 


以 华为 AR2220 路 由 器 为 例 ，OSPF 文 持 两 种 报 文 认证 方式 : 区 域 认 证 及 接口 认证 。 
在 图 3-70 中 ，R1、R2、R3 及 R4 运行 OSPF， 区 域 的 规划 如 图 3-70 所 示 。 为 保证 Area0 
的 安全 性 ， i Area0 开启 区 域 认 证 ， 使 用 MD5 的 验证 方式 ， 密 码 为 Huaweil23。R3 

与 R4 之 间 开 启 OSPF 接口 认证 ， 使 用 明文 的 认证 方式 ， 密 人 为 HWAreal。 


PT LE 


GE0/0/0 GEO0/0/1 :” GEO0/0/1 





10.1.121/24 10.1.23.2/24 |] 0.1.34,.3/24 
GE0O/0O/0 GOEO/O/O GEO/0/0 
RI1 10.1.12.2/24 R2 10.1.23.3/24 R3: 10.1.34.4/24 R4 
Area0 Areal 


SETTTETTITITEETTIT TT 


图 3-70 OSPF 报 文 认证 


四 
ETE 


R1 的 关键 配置 如 下 : 
[Rilospf 1 
[Rl1-ospf-1]area 0 
[R1-ospf-1-area-0.0.0.0]Jauthentication-mode md5 1 cipher Huaweil23 
R2 的 关键 配置 如 下 : 
[R2]ospf 1 | 
[R2-ospf-1]area 0 
[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher Huaweil23 
R3 的 关键 配置 如 下 : 
[R3]ospf 1 

和 [R3-0spf-1Jarea 0 
[R3-0spf-1-area-0.0.0.0]authentication-mode md5 1 cipher Huaweil23 
在 Area0 配置 视图 下 使 用 authentication-mode md5 1 cipher Huaweil23 命令 , 将 使 


得 设备 在 该 区 域 中 激活 OSPF 的 MD5 认证 。 在 该 命令 中 ， 数值 1 为 Key-ID， oa 
令 。 上 述 命令 将 使 设备 上 所 有 属于 Areal 的 接口 均 激活 OSPF 报 文 认证 功能 ， 
使 用 MD5 的 认证 方式 。 
接 下 来 配置 R3 与 R4 之 间 的 接口 认证 。 接 口 认证 方式 用 于 在 直 连 的 设备 之 间 实 现 
OSPF 报 文 认证 ， 它 的 优先 级 高 于 区 域 认 证 方式 。 
在 R3 上 激活 接口 认证 ; 
[R3] interface GigabitEthernet 0/0/1 
[R3-GigabitEthemet0/0/1 Jospf Wa lo ena simple cipher HWAreal 


在 R4 上 激活 接口 认证 : 
[R4] interface GigabitEthernet 0/0/0 
[R4-GigabitEthernet0/0/0]Jospf authentication-mode Simple cipher HWAreal 
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完成 配置 后 ，R3、R4 即 可 基于 接口 认证 建立 邻居 关系 。Ospf authentication-mode 
simple cipher HWAreal 命令 中 的 simple 关键 字 指 的 是 认证 方式 为 明文 ， 即 认证 口令 会 以 
明文 的 形式 包含 在 OSPF 报 文 中 ， 这 显然 是 不 安全 的 。 因 此 推荐 使 用 MD5 的 方式 。 


3.4.9 案例 8: OSPF 多 进程 


1. OSPF 进程 及 Process-ID 的 概念 

在 华为 的 数 通 产品 上 ，OSPF 是 支持 多 进程 的 。 在 系统 视图 下 使 用 ospf 命令 并 关联 
Process-ID 即 可 在 设备 上 创建 一 个 OSPF 进程 。Process-ID 用 于 标识 一 个 OSPF 进程 ， 当 
设备 上 存在 多 个 OSPF 进程 时 ， 需 使 用 不 同 的 Process-ID 对 不 同 的 进程 加 以 区 分 。 
Process-ID 只 具有 本 地 意义 ， 换 句 话说 ， 两 台 设 备 在 使 用 OSPF 进行 对 接 时 ， 双 方 的 
Process-ID 是 不 要 求 一 致 的 。 在 图 3-71 中 , R1 及 R2 两 台 路 由 器 直 连 , 两 者 将 建立 OSPF 
邻接 关系 。R1 使 用 Process-ID 100 创建 了 一 个 OSPF 进程 ， 并 将 GE0/0/0 接口 在 Area0 
中 激活 了 OSPF， 而 R2 则 使 用 Process-ID 200 创建 了 一 个 OSPF 进程 ， 同 时 将 自己 的 
GE0/0/0 接口 在 Area0 中 激活 OSPF， 虽 然 两 者 使 用 的 Process-ID 不 一 样 ， 但 是 这 完全 不 
影响 R1 及 R2 之 间 OSPF 邻接 关系 的 建立 ， 正 如 前 文 所 说 ，Process-ID 只 具有 本 地 意义 ， 
只 在 一 台 设 备 上 用 于 区 分 不 同 的 OSPF 进程 ， 而 且 在 路 由 器 之 间 交 互 的 所 有 OSPF 报 文 
都 不 会 携带 Process-ID 信息 。 虽 然 两 者 的 Process-ID 可 以 不 相同 ， 但 是 互联 接口 的 区 域 
ID 是 必须 相同 的 。 


EET 


GEO/0/0 GEO0/0/0 : 
: &3 10.1.12.1/24 10.1.12.2/24 &3 : 
: RI R2 | 
: Area0 : 


ospf 100 router-id 1.1.1.1 ospf 200 router-id 2.2.2.2 
area 0 area0 
network 10.1.12.0.0.0.0.255 network 10.1.12.0.0.0.0.255 





图 3-71 OSPF 的 Process-ID 只 具有 本 地 意义 


虽然 Process-ID 只 具有 本 地 意义 ， 然 而 在 实际 的 网 络 部 蜀 中 ， 如 果 全 网 只 有 一 个 
OSPF 域 ， 则 还 是 建议 在 设备 上 使 用 相同 的 Process-ID， 这 样 也 方便 网 络 管理 及 维护 。 

2. 运行 OSPF 多 进程 

当 一 台 设 备 运 行 了 多 个 OSPF 进程 ， 这 些 进 程 之 间 将 相互 独立 ， 每 个 进程 独立 维护 
目 己 的 LSDB， 而 且 不 同 进 程 的 LSDB 之 间 相 互 隔离 ， 设 备 从 一 个 OSPF 进程 学 习 到 的 
LSA 只 会 存储 在 该 进程 的 LSDB 中 。 

在 图 3-72 中 ，R1、R2 及 R3 运行 了 OSPF， 值 得 注意 的 是 ，R2 作为 两 个 网 络 的 边 
界 设备 运行 了 两 个 OSPF 进程 ， 这 两 OSPF 进程 使 用 的 Process-ID 分 别 是 100 及 200。 
R2 使 用 OSPF 进程 100 与 R1 对接， 使 用 进程 200 与 R3 对 接 。 上 述 操作 将 在 网 络 中 产 
生 两 个 OSPF 域 ， 这 两 个 域 是 相互 隔离 、 相 互 独立 的 ， 因 此 每 个 OSPF 域 里 都 有 自己 的 
骨干 区 域 及 其 他 常规 区 域 。 在 本 书 介绍 OSPF 区 域 的 小 节 中 曾经 为 大 家 打 过 一 个 比方 ， 
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一 个 OSPF 域 就 相当 于 一 个 城市 ， 在 这 个 城市 中 ， 可 以 规划 多 个 行政 区 ， 每 个 城市 都 可 
以 有 自己 的 中 央行 政 区 。 在 本 网 络 中 ，R2 就 相当 于 两 个 城市 的 分 界 点 。R2 分 别 为 这 两 
个 OSPF 进程 独立 维护 一 套 LSDB。 


A 


PO 


GEO0/0/1 i GE0/0/2 
,10.1.12.1/24 We 10.1.23.2/24 






10.1.1.0/24 / ' \ 
: ey GEO0/0/1 “Wm GEO/O/1 
RI 10.1.12.2/24 R2 10.1.23.3/24 RS3 
Areal Area0 Area0 E Areal 


TT TT TT ED 攻 CTTTTTTYTTTYTTITTTTTYTTYTI 


ospf 1 router-1d 3.3.3.3 
area0 
network 10.1.23.0.0.0.0.255 


area ] 
network 10.2.2.0.0.0.0.255 


ospf 1 router-id 1.1.1.1 
area 0 
network 10.1.12.0.0.0.0.255 
area ] 
network 10.1.1.0.0.0.0.255 





ospf 100 router-id 2.2.2.2 
area 0 
network 10.1.12.0.0.0,0.255 
ospf 200 router-ld 2.2.2.2 
area 0 
network 10.1.23.0.0.0.0.255 





图 3-72 一 个 关于 OSPF 多 进程 的 简单 示例 


首先 碍 看 一 下 R2 的 邻居 表 : 


<R2>display ospf peer 


OSPF Process 100 with Router ID 2.2.2.2 
Neighbors 


Area 0.0.0.0 interface 10.1.12.2(GigabitEthernet0/0/1)'s neighbors 
Routor di .lll Address: 10.1.12.1 

State: Full Mode:Nbris Slave Priority: 1 

DR I22 BOR: LO 办 

Dead timer due in 39 Sec 

Retrans timer interval: 5 

Neighbor is up for 00:02:56 

Authentication Sequence: [ 0 | 


OSPF Process 200 with Router ID 2.2.2.2 
Neighbors 


Area 0.0.0.0 interface 10.1.23.2(GigabitEthernet0/0/2)'s neighbors 
Router ID: 3.313.3 Address: 10.1.23.3 

State; Full Mode:Nbris Master Priority: 1 

WR: 101293 BDR: I0.b232 MTU NO 

Dead timer due in 33 sec 

Retrans timer interval: 5 、 

Neighbor is up for 00:02:18 

Authentication Sequence: [ 0] 


从 以 上 输出 可 以 看 出 ，R1 及 R3 这 两 个 OSPF 邻居 是 分 别 属于 进程 100 和 200 的 。 
再 看 一 下 R2 的 LSDB: 
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<R2>display ospf lsdb 


OSPF Process 100 with Router ID 2.2.2.2 


Link State Database 
Area: 0.0.0.0 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 2.2.2.2 p47 地 262 36 80000004 1 
Router Ed 革 半 机 266 36 80000005 1 
Network 10.1.12.2 2 262 32 80000002 0 
Sum-Net 10.1.1.0 1.1.1.1 273 28 80000001 0 


OSPF Process 200 with Router ID 2.2.2.2 E 


Link State Database 
Area: 0.0.0.0 r 
Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 2.2.2.2 2.2.2.2 227 36 80000004 1 
Router SS 3 218 36 80000005 1 
Network ”10.1.23.3 3.3.3.3 218 32 80000002 0 
Sum-Net 10.2.2.0 3333 261 28 80000001 0 


从 以 上 输出 可 以 看 到 ，R2 为 这 两 个 进程 分 别 维护 着 一 个 LSDB。 

值得 注意 的 是 ， 对 于 R2 而 言 ， 虽然 OSPF 进程 100 与 OSPF 进程 200 相互 隔离 ， 然 
而 这 两 个 OSPF 进程 都 能 够 为 R2 目 喘 页 献 路 由 。 换 句 话说 ，R2 会 基于 OSPF 进程 100 
的 LSDB 进行 路 由 计算 ， 并 获得 到 达 10.1.1.0/24 的 路 由 ， 也 会 基于 OSPF 进程 200 的 LSDB 
进行 路 由 计算 ， 并 获得 到 达 10.2.2.0/24 的 路 由 ， 然 后 将 这 些 路 由 都 装载 进 上 自己 的 路 由 表 中 。 

查看 一 下 R2 的 OSPF 路 由 表 : 


<R2>display ospf routing 


OSPF Process 100 with Router ID 2.2.2.2 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
10.1.12.0/24 1 Transit HOT 2 0.0.0.0 
10.1.1.0/24 1 Inter-area 10.1.12.1 1.1.13] 0.0.0.0 
Total Nets: 2 


Intra Area: 1 Inter Area: 1 ASE:0 NSSA:0 


OSPFR Process 200 with Router ID 2.2.2.2 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
10.1.23.0/24 1 Transit OUJR2S ve 2.2.2.2 0.0.0.0 
10.2.2.0/24 1 Inter-area 10.1.23.3 CS 5 0.0.0.0 
Total Nets: 2 


Intra Area: 1 JInter Area: ] ASE:0 NSSA:0 
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从 以 上 输出 可 以 看 出 ，R2 分 别 为 两 个 进程 维护 看 一 个 OSPF 路 由 表 。 虽 然 如 此 , 但 
是 这 两 个 OSPF 路 由 表 都 可 以 为 R2 的 全 局 路 由 表 页 献 路 由 。 看 一 下 R2 的 路 由 表 : 


<R2>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table : OSPF 
Destinations : 2 Routes : 2 


OSPF routing table status :<Active> 
Destinations : 2 Routes : 2 


Destination/Mask Proto Pre Cost Flags NextHop Interface 


10.1.1.0/24 OSPF Mew D 10.1.12.1 GigabitEthernet0/0/1 
10.2.2.0/24 OSPF 1 D 10.1.23.3 GigabitEthernet0/0/2 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


R2 已 经 学 习 到 10.1.1.0/24 及 10.2.2.0/24 的 路 由 了 ,当然 它 上 自己 到 达 这 两 个 网 段 是 没 
有 任何 问题 的 ， 毕 竟 路 由 都 已 经 完整 学 习 到 了 ， 然 而 10.1.1.0/24 此 时 与 10.2.2.0/24 是 无 
法 互 访 的 ， 以 R1 为 例 ， 它 依然 无 法 获知 到 达 10.2.2.0/24 的 路 由 。 因 为 R2 缺 省 时 并 不 会 
将 OSPF 进程 200 中 的 LSA 注入 进程 100， 反 之 亦 然 。 现 在 如 果 要 求 这 两 个 网 段 能 够 实 
现 互 访 ， 那 么 该 如 何 操作 ? 对 于 R2 而 言 ， 它 分 别 为 OSPF 进程 100 及 200 各 维护 着 一 
张 OSPF 路 由 表 , 因此 只 要 在 R2 上 、 在 这 两 个 OSPF 进程 之 间 相 互 进行 路 由 重 分 发 即 可 ， 
即将 OSPF 进程 100 的 路 由 引入 进程 200， 同 时 将 OSPF 进程 200 的 路 由 引入 进程 100。 

首先 将 OSPF 进程 200 的 路 由 引入 进程 100: 

[R2]ospf 100 

[R2-ospf-100]import-route ospf 200 

如 此 一 来 , R2 便 会 将 已 经 在 OSPF 进程 200 中 激活 了 OSPF 的 接口 的 路 遇 10.1.23.0/24 
以 及 通过 进程 200 所 学 习 到 的 OSPF 路 由 10.2.2.0/24 都 引入 OSPF 进程 100 中 。 实际 上 ， 
R2 是 癌 进 程 100 中 注入 了 摘 述 这 两 条 外 部 路 由 的 Type-5 LSA。 看 看 R1 此 时 的 LSDB: 


<Rl>display ospf lsdb 


OSPF Process 1 with Router ID 1.1.1.1 


Link State Database 

Area: 0.0.0.0 
Type LinkState ID AdvRouter Age Len Sequence : Metric 
Router ded Rd 100 36 80000005 1 
Router 本 蝎 | Ll 1590 36 80000005 1 
Network” 10.1.12.2 yA 1588 32 80000002 0 
Sum-Net 10.1.1.0 hb, Wd 1597 28 80000001 0 

Area: 0.0.0.1 
Type LinkState ID ” AdvRouter Age Len Sequence Metric 
Router 攻关 1.1.1.1 ~ 1560 36 80000003 0 
Sum-Net 10.1.12.0 区 | 1649 28 80000001 1 


Sum-Asbr 2.2.2.2 1.1.1.1 99 28 80000001 1 
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AS External Database 
Type LinkState ID AdvRouter Age Len Sequence Metric 
External 10.1.23,0 2.2.2:2 100 36 80000001 
External 10.2.2.0 2.2.22 100 36 80000001 
己 经 出 现 了 Type-5 LSA 及 Type-4LSA。 再 看 看 R1 的 路 由 表 : 
<R1>display ip routing-table protocol ospf - \ 


Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 
Destinations : 2 Routes :2 


OSPF routing table status : <Active> 


Destinations : 2 Routes : 2 ph 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.23.0/24 OASE 150 1 D QE12.2 GigabitEthernet0/0/]1 
10.2.:2:0/24 OASE 150 1 D 10.1.12.2 GigabitEthernet0/0/1 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes : 0 


RI1 已 经 计算 出 了 到 达 10.1.23.0/24 及 10.2.2.0/24 的 路 由 。 
接 下 来 ， 在 R2 上 将 OSPF 进程 100 的 路 由 引入 进程 200: 


[R2]ospf200 
[R2-ospf-200]import-route ospf 100 


完成 上 述 操作 后 ，R3 即 可 通过 OSPF 学 习 到 10.1.1.0/24 及 10.1.12.0/24 路 由 ， 而 
10.1.1.0/24 与 10.2.2.0/24 即 可 实现 数据 互通 。 

3. 什么 时 候 会 使 用 OSPF 多 进程 

一 般 情况 下 ， 在 一 个 网 络 中 只 部 署 一 个 OSPF 进程 ， 即 整个 网 络 都 归属 于 同一 个 
OSPF 域 。 然 而 在 一 些 场景 中 ， 单 OSPF 进程 可 能 无 法 满足 业务 需求 ， 此 时 便 需 要 在 网 
络 中 规划 多 个 OSPF 域 、 在 特定 设备 上 部 普 多 OSPF 进程 。 

图 3-73 展示 了 一 个 大 型 企业 的 网 络 拓扑 ，P-CO-SW1、P-CO-SW2、P-CO-R1 及 P- 
CO-R2 是 省 公司 核心 网 的 设备 ，S-CO-SW1 及 S-CO-SW2 是 市 公司 的 设备 ，P-CO-R1 及 
P-CO-R2 还 下 联 着 区 县 站 点 设备 (实际 上 有 多 个 区 县 站 点 ， 此 处 只 显示 了 一 个 )。 为 了 
实现 市 公司 与 各 区 县 站 点 的 网 络 互 通 ， 我 们 在 市 公司 、 区 县 站 点 的 所 有 路 由 器 上 都 配置 
了 OSPF 并 且 进 行 了 多 区 域 的 规划 。 而 省 公司 核心 网 内 也 需 部 署 动态 路 由 协议 实现 路 由 
互通 ， 省 公司 核心 网 还 需 与 多 个 核心 业务 实现 路 由 对 接 。 

由 于 整个 企业 网 络 规模 较 大 ， 要 想 打通 全 网 的 路 由 ， 使 用 一 个 OSPF 域 直接 从 区 县 
站 点 往 上 部 署 到 省 公司 核心 网 ， 已 经 无 法 满足 当前 的 网 络 需求 。 一 来 整个 OSPF 域 太 大 ， 
路 由 数量 太 多 ， 二 来 OSPF 的 多 区 域 设 计 在 面 对 这 么 大 规模 、 多 业务 逻辑 网 络 的 时 候 显 
得 还 是 有 些 力不从心 ， 三 来 骨干 网 及 省 公司 核心 网 并 不 希望 学 习 到 市 公司 以 及 下 面 的 区 
县 站 点 的 路 由 明细 ， 因 此 路 由 汇总 势必 是 要 考虑 的 ， 加 之 网 络 对 业务 流量 的 走向 往往 还 
有 严格 的 要 求 ， 路 由 策略 部 署 上 的 考虑 也 是 一 个 关键 性 的 内 容 。 因 此 我 们 为 省 公司 网 络 
规划 了 另外 一 个 OSPF 域 , 在 省 公司 核心 网 的 边界 设备 P-CO-R1 及 P-CO-R2 上 创建 两 个 
OSPF 进程 ， 进 程 100 面向 省 公司 ， 进 程 1 面向 下 面 的 市 公司 及 区 县 站 点 。 两 个 进程 相 
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互 独立 互 不 干扰 ， 而 P-CO-R1 及 P-CO-R2 又 能 够 通过 这 两 个 进程 学 习 到 省 公司 核心 网 、 


市 公司 及 各 个 区 县 站 点 的 路 由 ， 两 个 OSPF 域 可 以 独立 规划 ， 每 个 OSPF 域内 的 区 域 设 
计 变 得 更 加 宽松 和 灵活 。 
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图 3-73 ”在 一 个 大 型 的 网 络 中 规划 OSPF 多 进程 


当然 ， 省 公司 以 及 市 公司 、 区 县 站 点 是 需要 相互 通信 的 ， 这 时 由 于 省 公司 的 网 络 属 
于 OSPF 进程 100， 而 市 公司 及 区 县 站 点 的 网 络 属 于 OSPF 进程 1， 为 了 实现 数据 互通 ， 
就 需要 在 P-CO-R1 及 P-CO-R2 上 执行 OSPF 进程 之 间 的 路 由 引入 了 。 一旦 把 P-CO-RI1 
及 P-CO-R2 设计 为 路 由 引入 执行 点 ， 它 们 就 变 成 了 ASBR， 在 路 由 引入 的 过 程 中 ， 可 以 
执行 路 由 策略 、 路 由 过 小 以 及 路 由 汇总 等 操作 。 当 然 ， 在 这 种 场景 下 部 署 路 由 引入 ， 需 
要 格外 小 心 ， 谨 防 路 由 环 路 等 问题 。 

在 一 个 大 型 的 网 络 中 应 用 OSPF 时 ， 采 用 多 进程 部 署 的 方式 是 颇 为 常见 的 。 下 面 再 
看 看 另 一 个 OSPF 多 进程 的 例子 

在 图 3-74 所 示 的 某 企业 网 络 中 存在 两 个 不 同 的 业务 : 生产 及 办 公 ， 两 个 业务 各 有 
目 己 的 服务 器 网 络 ， 路 由 器 SC-Router 及 BG-Router 分 别 与 这 两 个 业务 的 服务 器 网 络 对 
接 ， 前 者 通过 OSPF 学 习 到 生产 服务 器 网 络 的 路 由 ， 后 者 通过 OSPF 学 习 到 办 公 服 务 器 
的 路 由 。 另 外 ， 网 络 中 的 生产 PC 及 办 公 PC 通过 接 入 层 交 换 机 上 联 到 网 关 路 由 器 GW，。 
现在 需 使 生产 PC 能 够 访问 生产 服务 器 网 络 ,而 办 公 PC 能 够 访问 办 公 服 务 器 网 络 ， 那么 
首先 GW 束 要 分 别 从 SC-Router 及 BG-Router 学 习 到 去 往生 产 服 务 器 及 办 公 服 务 器 网 络 
的 路 由 。 另 外 ，SC-Router 也 需要 从 GW 学 习 到 去 往生 产 PC 网 段 的 路 由 ， 而 BG-Router 
需要 从 GW 学 习 到 去 往 办 公 PC 网 段 的 路 由 。 为 了 实现 生产 与 办 公路 由 的 隔离 ， 可 以 在 
GW 上 创建 两 个 OSPF 进程 一 一 进程 1 及 进程 2， 在 OSPF 进程 1 中 激活 连接 生产 PC 网 
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段 的 接口 ， 以 及 与 SC-Router 连接 的 接口 ， 另 外 在 OSPF 进程 2 中 激活 连接 办 公 PC 网 段 
的 接口 ， 以 及 与 BG-Router 连接 的 接口 。 


{SCRouter 下 BG-Router i 
生产 服务 器 22 办 公 服 务 名 
网 络 ne < 上 a 网 络 


OSPF 进程 1 民生 和 OSPF 进程 2 










/ Gy 
OSPF 邻居 
-3 


ee 









生产 PC E 办 公 PC 


图 3-74 使 用 多 OSPF 进程 为 不 同 的 业务 服务 


这 的 确 是 一 种 好 方法 ， 但 是 虽然 OSPF 进程 1 与 2 是 隔离 的 ， 然 而 GW 的 全 局 路 由 
表 中 却 依然 同时 拥有 到 达 生 产 网 络 及 办 公 网 络 的 路 由 ， 即 两 个 业务 的 路 由 实际 上 在 GW 
这 个 点 上 是 打通 的 一 一 显然 不 够 安全 。 此 时 可 以 引入 男 一 个 重要 的 概念 一 一 VRF (Virtual 
Routing Forwarding， 虚 拟 路 由 转发 )，VRF 也 被 称 为 VPN 实例 (VPN Instance)， 您 可 将 
其 简单 地 理解 为 虚拟 设备 , 通过 在 GW 上 创建 VRF 实例 , 并 且 将 OSPF 进程 1 关联 到 该 
VRF 实例 中 ， 可 以 彻 展 将 生产 路 由 与 办 公路 由 进行 隔离 《办 公路 由 及 业务 运行 在 根 设备 
上 ， 生 产 路 由 及 业务 运行 在 VRF 实例 上 ， 两 者 完全 隅 离 ， 可 以 想象 成 网 络 中 存在 两 全 
GW)。 关 于 VRF， 本 书 将 在 MPLS 相关 章节 中 做 深入 探讨 。 


3.5 习题 


1. (多 选 ) 以 下 关于 OSPF 的 选项 ， 正 确 的 有 (  ) 
A. OSPF 是 典型 的 链 路 状态 路 由 协议 ， 运 行 OSPF 的 路 由 器 之 间 交 互 LSA。 
B. OSPF 的 Router-ID 只 需 保 证 区 域内 唯一 即 可 。 
C. 两 台 设 备 使 用 以 太 网 接口 直接 相连 ， 当 OSPF 在 双方 的 互联 接口 上 被 激活 时 ， 
该 接口 的 OSPF 网 络 类 型 缺 省 为 P2P， 因 为 该 链 路 上 只 有 这 两 台 设 备 。 
D. Area321 等 同 于 Area0.0.1.65。 
2. (多 选 ) 以 下 关于 DR、BDR 的 描述 ， 正 确 的 有 (  ) 
A. OSPF 在 P2MP 类 型 的 接口 上 也 会 选举 DR、BDR。 
B. 在 一 个 MA 网 络 中 ， 可 以 只 有 DR， 而 没有 BDR。 
C. 当 一 个 MA 网 络 中 已 经 存在 DR 时 ， 如 果 有 一 人 台 设 备 新 接 入 该 网 络 且 其 接口 
的 DR 优先 级 比 当前 的 DR 更 高 ， 那 么 它 依然 无 法 抢占 当前 DR 的 角色 。 
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在 一 个 MA 网 络 中 ， 两 台 设 备 的 接口 如 果 都 是 DRother， 那 么 
届 关 系 将 停 浏 在 2-Way 状态 。 


它们 之 则 的 邻 


3. (多 选 ) 以 下 关于 LSA 的 描述 ， 正 确 的 有 (  ) 


A. 


B. 
Be 


D. 


Type-5 LSA 由 ASBR 产生 ， 可 在 整个 OSPF 域内 泛 洪 (特殊 区 域 除外 )， 用 
于 摘 述 外 部 路 由 。 

Type-3 LSA 由 ABR 产生 ， 用 于 描述 区 域 间 路 由 。 

所 有 的 路 由 器 都 将 产生 Type-1 LSA， 无 论 接 入 多 少 个 区 域 ,设备 都 只 会 
一 小 Type-l LSA。 


Type-4 LSA 由 ASBR 产生 ， 用 于 摘 述 到 达 该 ASBR 的 路 径 。 


一 个 由 几 台 路 由 器 构成 的 简单 网 络 中 部 署 了 OSPF， 网 络 管理 员 在 该 OSPF 网 络 


中 只 we 划 了 


出 现 问 题 ? 


一 个 区 域 ， 而 且 使 用 的 是 Areal， 请 问 网 络 中 的 路 由 器 在 计算 路 由 时 是 否 会 


5. 一 个 由 三 台 路 由 咒 构 成 的 简单 网 络 中 部 轩 了 单 区 域 OSPF( 该 区 域 为 Area0)， 在 
该 区 域 中 ， 大 计生 在 四 个 LSA， 其 中 Type-1LSA (共计 三 个 ) 如 下 : 


Type : Router 
Ls id 0255.1.3 
Adv rtr LOS 3 
Ls age : 1272 
Len :60 
Options :E 
Seq## : 80000006 
chksum ; 0xf760 
Link count 了 
* Link ID .10.255.1.2 
Data : 10.1.1.6 
Link Type  :P-2-P 
Metric :48 
* Link ID : 10.1.1.4 
Data 209295,250,262 
Link Type :StubNet 
Metric :48 
Priority : Low 
* Link ID : 10.8.8.253 
Data : 10.8.8.252 
Link Type :TransNet 
Metric J 2 
Type : Router 
Ls id : 10.255.1.2 
Adv rtr : 10.255.1.2 
Ls age :1283 
Len 1 
Options EB 
seq# : 80000005 
chksum : Ox5f3 
Link count : 4 
* Link ID :10.255.1.1 
Data ;10.1.1.2 
Link Type : P-2-P 


SEq# 
chksum 
Link count 
* Link ID 
Data 


Link Type - 


Metric 

* Link ID 
Data 
Link Type 
Metric 
Priority 

* Link ID 
Data 
Link Type 
Metric 


为 外 ， 网 络 中 


Type 

Ls id 
Adv rtr 
Ls age 
Len 
Options 
Seq# 
chksum 
Net mask 
Priority 
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: 48 

: MOT.10 
:255.255.255.252 
: StubNet 

: 48 

:Low 

: 10.255.1.3 
“Ql 

: P-2-P 

: 48 

: 10.1.1.4 

A do be Pr A Pn te 
: StubNet 

:48 

: Low 


:及 outer ， 
02551,1 
: 10.255.1.1 
: 1268 

:60 


E 


: 80000008 
: Ox9bc6 
33 

: 10.255.1.2 
OL 
‘P-2-P 

:48 

: 10.1.1.0 


1235.255.255.232 


:StubNet 
:48 
: Low 


: 10.8.8.253 


: 10.8.8.253 


: TransNet 


2 
的 Type-2 LSA 如 下 : 
: Network 
: 10.8.8.253 
:10.255.1.1 
: 1399 
3 

E 
: 80000003 
:Oxed2c 
: 255.255.255.0 
:Low 


Attached Router 10.255.1.1 
Attached Router 10.255.1.3 


除 此 之 外 ， 网 络 中 没有 其 他 LSA， 请 根据 以 上 信息 ， 绘 制 出 本 网 络 的 拓扑 图 。 
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4.1 1S-IS 概述 


IS-IS (Intermediate System to Intermediate System， 中 间 系 统 到 中 间 系 统 ) 是 一 种 链 
路 状态 路 由 协议 , 在 服务 提供 商 网络 中 被 广泛 应 用 ,IS-IS 与 OSPF 在 许多 方面 非常 相似 ， 
例如 运行 IS-IS 的 直 连 设备 之 间 会 通过 Hello 报 文 发 现 彼 此 ,然后 建立 邻 大 关系 ， 并 交互 
链 路 状态 信息 ， 这 些 链 路 状态 信息 表现 为 LSP (Link-State Packet， 链 路 状态 报 文 )。 每 
一 台 和 运行 IS-IS 的 设备 都 会 产生 LSP， 设 备 产 生 的 LSP 会 被 泛 洪 到 网 络 中 适当 的 范围 ， 
所 有 的 设备 都 将 目 己 产生 的 、 以 及 网 络 中 泛 洪 的 LSP 存储 在 自己 的 LSDB 中 。IS-IS 设 
备 基于 自己 的 LSDB 采用 SPF (Shortest Path First， 最 短路 径 优 先 ) 算法 进行 计算 ， 最 终 
得 到 IS-IS 路 由 信息 。 另 外 , 与 OSPF 一 样 , IS-IS 也 支持 层次 化 的 网 络 架 构 , 支持 VLSM， 
支持 手工 路 由 汇总 等 功能 。 

IS-IS 早期 被 ISO (International Organization for Standardization， 国 际 标准 化 组 织 ) 
标准 化 时 ， 是 为 OSI (Open System Interconnection， 开 放 式 系统 互联 ) 协议 栈 服务 的 ， 
它 是 为 CLNP 〈ConnectionLess Network Protocol， 无 连接 网 络 协议 ) 设计 的 动态 路 由 协 
议 。 需 注意 的 是 OSI 与 TCP/IP 是 两 个 不 同 的 协议 栈 。 到 目前 为 止 ， 本 书 所 讨论 的 内 容 
都 是 围绕 TCP/IP 协议 栈 展开 的 , 关于 该 协议 栈 相 信 大 家 已 经 非常 熟悉 了 。 我 们 可 以 简单 
地 将 OSI 协议 栈 中 的 CLNP 理解 为 TCP/IP 协议 栈 中 的 卫 协议 ， 两 者 实现 的 功能 非常 类 
似 。 最初 的 IS-IS 是 无 法 工作 在 TCP/IP 环境 中 的 ， 随 者 TCP/IP 风 厅 全 球 ，IETF (Internet 
Engineering Task Force，Internet 工程 任务 组 ) 对 IS-IS 进行 了 扩展 ， 使 得 它 能 够 同时 支持 
IP 路 由 ,这 种 IS-IS 被 称 为 集成 IS-IS(Integrated IS-IS)。, 由 于 在 当今 的 通信 网 络 中 ,TCP/IP 
已 经 成 了 绝对 的 主流 协议 栈 ， 因 此 如 今 我 们 所 讨论 的 IS-IS 几乎 都 指 的 是 集成 IS-IS。 在 
本 书 的 后 续 章节 中 ， 除 非特 别 说 明 ， 否 则 IS-IS 指 的 就 是 集成 IS-IS。 


4.1.1 常用 术语 


在 正式 学 习 IS-IS 之 前 ， 有 几 个 术语 需要 大 家 提前 熟悉 。 这 些 术语 中 ， 有 许多 是 与 
OSI 协议 栈 相 关 的 ， 这 些 术 语 被 沿用 下 来 ， 并 且 在 后 续 的 章节 中 可 能 会 反复 出 现 。 

e。 ISO (International Organization for Standardization， 国 际 标准 化 组 织 ): 这 是 一 
个 全 球 性 质 的 非 政 府 组 织 ， 成 立 于 1946 年 ， 从 其 名 称 可 以 看 出 该 组 织 的 使 命 , 即 在 国际 
上 促进 各 领域 的 标准 化 实现 。ISO 的 一 个 广 为 人 们 所 知 的 成 果 便 是 ISO9000 质量 体系 ， 
另外 ， 大 家 非常 熟悉 的 OSI 参考 模型 也 是 ISO 的 杰作 。 

。IS (Intermediate System， 中 间 系 统 ): 指 的 是 OSI 中 的 路 由 占 。 

。 IS-IS (Intermediate System to Intermediate System， 中 间 系 统 到 中 间 系 统 ): 用 
于 在 IS 之 间 实 现 动态 路 由 信息 交互 的 协议 。 

。 CLNP (Connection-Less Network Protocol， 无 连接 网 络 协议 ): 这 是 OSI 的 无 连 
接 网 络 协议 ， 它 与 TCP/IP 中 的 他 协议 的 功能 类 似 。 

。 LSP (Link-State Packet， 链 路 状态 报 文 ): 这 是 IS-IS 用 于 朱 述 链 路 状态 信息 的 
关键 数据 , 类 似 OSPF 的 LSA。IS 将 网 络 中 的 LSP 搜集 后 装载 到 自己 的 LSDB (Link State 
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Database, 链 路 状态 数据 库 ) 中 , 然后 基于 这 些 LSP 进行 路 由 计算 ,LSP 分 为 两 种 : Level-1 
LSP 及 Level-2 LSP。 


4.1.2 OSI 地址 


在 TCP/IP 协议 栈 中 ，IP 地 址 用 于 标识 网 络 中 的 设备 ， 从 而 实现 网 络 层 寻 址 。 一 台 
设备 如 果 存 在 多 个 接口 ， 那么 该 设备 便 可 能 拥有 多 个 IP 地 址 , 每 个 接口 均 可 使 用 一 个 独 
立 的 IP 地址 ， 当 然 ， 有 的 时 候 ， 在 一 台 设 备 的 某 个 接口 上 ， 可 能 还 会 存在 多 个 IP 地 址 。 

在 OSI 协议 栈 中 ，NSAP (Network Service Access Point， 网 络 服务 接 入 点 ) 被 视 为 
CLNP 地 址 ， 它 是 一 种 用 于 在 OSI 协议 栈 中 定位 资源 的 地 址 。IP 地 址 只 用 于 标识 设备 ， 
而 并 不 标识 该 设备 的 上 层 协议 类 型 或 服务 类 型 ， 而 NSAP 地 址 中 除了 包含 用 于 标识 设备 
的 地 址 信息 ， 还 包含 用 于 标识 上 层 协 议 类 型 或 服务 类 型 的 内 容 ， 因 此 从 这 个 层面 上 看 ， 
OSI 中 的 NSAP 地 址 类 似 于 TCP/IP 中 的 卫 地址 与 TCP 或 UDP 端口 号 的 组 合 。 

一 个 NSAP 地 址 由 IDP (Initial Domain Part， 初 始 域 部 分 ) 和 DSP (Domain Specific 
Part， 域 指定 部 分 ) 两 部 分 构成 ， 而 IDP 及 DSP 这 两 部 分 又 被 进一步 划分 ， 如 图 4-1 所 
示 。 在 NSAP 地 址 中 , IDP 和 DSP 都 是 可 变 长 的 , 这 使 得 NSAP 地 址 的 总 长 度 并 不 固定 ， 
最 短 为 8byte， 最 长 则 可 以 达到 20byte。 


~- 一 ID 一 二 一 一 DSP -| 
| [Nm | RD ve 


图 4-1 NSAP 地 址 结构 


关于 IDP 及 DSP 中 各 个 字段 的 含义 ， 描 述 如 下 : 

。 AFI (Authority and Format Identifier， 授 权 组 织 和 格式 标识 符 ): 长 度 为 lbyte， 
用 于 标识 地 址 分 配 机 构 。 另 外 ， 该 字段 值 同 时 也 指定 了 地 址 的 格式 。 一 个 在 实验 军 环境 
中 经 常 被 使 用 到 的 AFI 值 是 49， 该 值 表 示 本 地 管理 ， 也 即 私 有 地 址 空间 。 

。 IDI (Initial Domain Identifier， 初 始 域 标 识 符 ): 该 字段 用 于 标识 域 (Domain )， 
其 长 度 是 可 变 的 。 

。 DSP 高 位 部 分 (High Order DSP): 也 就 是 DSP 中 的 高 比特 位 部 分 (在 二 进 制 数 
值 中 ， 最 靠近 左边 的 比特 位 被 视 为 高 位 )， 该 字段 的 长 度 是 可 变 的 ， 它 用 于 在 一 个 域 中 进 
一 步 划 分 区 域 。 

。 系统 ID (System Identification): 用 于 在 一 个 区 域内 标识 茶 台 设备 。 在 华为 路 由 
右上 ,系统 ID 的 长 度 固定 为 6byte, 而 且 通 第 采用 16 进 制 格式 呈现 ,例如 0122.a2fl1.0031。 
在 网 络 部 署 过 程 中 ， 必 须 保 证 域内 设备 的 系统 ID 的 唯一 性 。 考 虑 到 在 以 太 网 环境 中 ， 
设备 的 MAC 地 址 具有 全 局 唯一 性 ， 而 且 正 好 长 度 也 是 6byte， 因 此 使 用 设备 的 MAC 地 
址 作为 其 系统 ID 也 是 一 个 不 错 的 方案 。 

。 NSEL (NSAP-Selector): 长 度 为 lbyte， 用 于 标识 上 层 协议 类 型 或 服务 类 型 。 

在 IS-IS 中 ， 基 于 路 由 的 目的 ，NSAP 的 IDP 及 DSP 高 位 部 分 加 在 一 起 被 称 为 区 域 
地 址 ， 如 图 4-2 所 示 ， 该 地 址 是 可 变 长 的 ， 最 短 为 lbyte。 对 于 IS-IS 而 言 ， 区 域 地 址 就 
是 区 域 D(Area Identification， 区 域 标识 符 )。 
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FE 


图 4-2 NSAP 中 的 区 域 地 址 


在 OSI 协议 栈 中 , 还 有 男 外 一 种 非常 重要 的 地 址 , 它 就 是 NET (Network Entity Title， 
网 络 实体 名 称 )，NET 用 于 在 网 络 层 标识 一 台 设 备 ， 可 以 简单 地 看 作 NSEL 为 0x00 的 
NSAP。 由 于 NSEL 为 0x00， 因 此 NET 不 标识 任何 上 层 协 议 (或 服务 ) 类 型 ， 只 用 于 标 
识 该 设备 本 身 。 即 使 在 纯 TCP/IP 环境 中 部 署 IS-IS， 我 们 也 必须 为 每 一 台 准 备 运 行 IS-IS 
的 设备 分 配 NET, 耕 则 IS-IS 将 无 法 正常 工作 。 一旦 网 络 管理 员 为 一 台 设 备 指 定 了 NET,， 
该 设备 便 可 以 从 NET 中 解析 出 区 域 ID， 以 及 设备 的 系统 ID。 通 常情 况 下 ， 我 们 只 会 ; 
设备 的 一 个 IS-IS 进程 指定 一 个 NET， 当 然 ， 在 一 些 特殊 场景 中 ， 我 们 也 可 能 会 为 一 个 
IS-IS 进程 指定 多 个 NET， 此 时 这 些 NET 中 的 系统 ID 必须 相同 。 在 IS-IS 中 ， 系 统 ID 
相当 于 OSPF 中 的 Router-ID。 





华为 路 由 器 支持 多 IS-IS 进程 ,每 个 IS-IS 进程 使 用 本 地 唯一 的 Process-ID 进行 标 
识 ， 这 点 与 OSPF 非常 类 似 。 


在 NET 中 , 区 域 ID 的 长 度 是 可 变 的 ， 因此 NET 的 长 度 并 不 固定 。 那 么 ,既然 NET 
是 可 变 长 的 , 设备 该 如 何 从 中 识别 出 区 域 ID 及 系统 ID 呢 ? 以 49.0001.4f3c.23ab.0001.00 
这 个 NET 为 例 ， 图 4-3 展示 了 它 的 结构 。NET 的 最 后 一 个 字 节 为 NSEL， 它 对 应 的 值 必 
须 为 0x00， 与 NSEL 相 邻 的 6 个 字 节 为 系统 DD， 而 其 余 的 部 分 便 是 区 域 ID， 处 于 同一 
个 区 域 的 两 台 IS-IS 设备 ， 其 NET 中 的 区 域 ID 必须 相同 ， 而 系统 ID 则 必须 不 同 。 


49 . 0001 . 4f3c . 23ab . 0001 . 00 


| 


区 域 ID 系统 ID NSEL 
( 恋 长 ) (固定 6Byte) (固定 1Byte) 


图 4-3 一 个 NET 的 示例 


在 华为 路 由 器 上 ， 一 个 IS-IS 进程 并 为 该 进程 分 配 NET 的 配置 如 下 : 

[Routerlisis 1 

[Router-isis-1 jnetwork-entity 49.ac21.32al.00e0.fc43.f212.00 

在 以 上 配置 中 ，isis 命令 用 于 创建 IS-IS 进程 并 进入 该 进程 的 配置 视图 ，isis 命令 中 
可 指定 该 进程 的 Process-ID, 本 例 中 所 创建 的 IS-IS 进程 的 Process-ID 为 1。 如果 使 用 isis 
命令 创建 IS-IS 进程 时 未 指定 Process-ID， 则 系统 会 自动 为 该 进程 分 配 一 个 缺 省 值 作为 
Process-ID。 另 外 ， 在 IS-IS 进程 的 配置 视图 中 ，network-entity 命令 用 于 为 该 进程 分 配 
NET， 在 本 例 中 我 们 为 该 进程 分 配 的 NET 为 49.ac21.32al.00e0.fc43. 亿 12.00， 其 中 设备 
的 系统 ID 为 00e0.fc43. 刀 12， 该 值 实 际 上 是 取 自 该 设备 某 个 以 太 网 接口 的 MAC 地 址 ; 
另外 设备 所 属 区 域 的 区 域 ID 为 49.ac21.32al。 从 以 上 描述 可 以 看 出 ， 在 华为 路 由 器 上 部 
暂 IS-IS 并 为 设备 分 配 NET 时 ， 基 本 上 只 需 关 注 区 域 ID 及 系统 ID 这 两 个 信息 。 
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4.2 1S-IS 的 基本 概念 


4.2.1 1S-IS 的 层次 化 设计 


在 学 习 OSPF 的 过 程 中 ， 相 信 大 家 已 经 体会 到 了 多 区 域 、 层 次 化 网 络 设计 的 好 处 。 
对 于 链 路 状态 路 由 协议 而 言 ， 运 行 了 该 协议 的 设备 会 问 网 络 中 通告 链 路 状态 信息 ， 同 时 
也 收集 网 络 中 所 泛 洪 的 链 路 状态 信息 然后 加 以 储存 , 并 最 终 以 这 些 信息 为 基础 进行 计算 ， 
从 而 得 到 路 由 信息 。 如 果 不 采 用 多 区 域 的 部 署 方式 ， 那 么 随 痢 网 络 的 规模 逐渐 增 大 ， 网 
络 中 所 泛 洪 的 链 路 状态 信息 势必 会 越 来 越 多 ， 所 有 的 设备 都 将 承受 更 重 的 负担 ， 路 由 计 
算 及 收敛 将 逐渐 变 得 更 加 缓慢 ， 这 也 使 得 网 络 的 可 扩展 性 变 产 。 

IS-IS 能 够 部 署 在 规模 非常 大 的 运营 商 骨干 网 络 中 ， 这 得 益 于 它 对 层次 化 网 络 的 文 
持 。 我 们 能 够 根据 需要 将 一 个 IS-IS 域 (Domain) 切割 成 多 个 区 域 ， 然 后 使 用 骨干 路 由 
器 将 这 些 区 域 连 接 起 来 。 简 单 地 说 ，IS-IS 采用 两 级 分 层 结构 ; 骨干 网 络 及 常规 区 域 。 

如 图 4-4 所 示 ，R1 及 R5 处 于 Area 49.0001，R2 及 R6 处 于 Area 49.0002，R3 处 于 
Area 49.0003，R4 则 处 于 Area 49.0004。IS-IS 的 区 域 ID 与 OSPF 是 截然 不 同 的 。 对 于 
IS-IS 来 说 ， 其 骨干 网 络 并 不 像 OSPF 那样 是 一 个 唯一 的 、 有 具体 的 区 域 (Area0)， 而 是 由 
一 系列 连续 的 Level-2 及 Level-1-2 路 由 器 所 构成 的 范围 。 在 本 例 中 ，R1、R2、R3 及 R4 
便 构 成 了 该 IS-IS 域 的 骨 于 网 络 。 关 于 Level-1、Level-1-2 及 Level-2 路 由 器 的 概念 将 在 
4.2.2 节 中 介绍 。 
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图 4-4 ”IS-IS 的 骨干 及 区 域 
我 们 将 连续 的 Level-1 ( 含 Level-1-2) 路 由 器 构成 的 区 域 称 为 Level-1 区 域 ， 例 如 
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图 4-4 中 的 Area 49.0001 和 Area 49.0002; 而 Area 49.0003 及 Area 49.0004 则 为 Level-2 
区 域 , 一 个 Level-2 区 域 由 连续 的 、 同 属 一 个 区 域 的 Level-2 ( 含 Level-1-2) 路 由 器 构成 。 

在 OSPF 中 ， 直 连 的 设备 之 间 如 果 要 建立 邻居 关系 ， 那 么 双方 互联 的 接口 必须 在 相同 
的 区 域 中 , 两 个 直 连 接口 如 果 不 在 相同 的 区 域 中 激活 OSPF, 那么 邻居 关系 是 无 法 建立 的 ， 
而 IS-IS 则 有 所 不 同 。IS-IS 的 区 域 设 定 是 体现 在 设备 上 的 ,， 当 我 们 在 一 台 设 备 上 配置 IS-IS 
时 ， 束 需要 指定 该 设备 所 属 的 区 域 (区 域 ID 在 为 该 设备 所 分 配 的 NET 中 体现 ,一 个 设备 
可 以 同时 属于 多 个 区 域 )， 值 得 注意 的 是 ， 完 成 上 述 配 置 后 ， 设 备 的 所 有 接口 都 属于 该 区 
域 。 在 本 例 中 ，R1 及 R5 同属 一 个 区 域 ， 它 们 之 间 建 立 Level-1 的 IS-IS 邻居 关系 ， 而 R3 
及 R4 属于 不 同 的 区 域 ， 它 们 都 是 Level-2 路 由 需 ， 因 此 它们 之 间 建 立 Level-2 的 邻居 关系 。 

对 于 OSPF 来 说 ， 两 个 区 域 的 交界 是 出 现在 OSPF 设备 上 的 。 例 如 一 台 拥 有 两 个 接 
口 的 路 由 右 ， 如 果 分 别 将 这 两 个 接口 在 不 同 的 OSPF 区 域 (例如 Area0 及 Areal) 中 激 
活 ， 那 么 该 路 由 器 就 处 于 Area0 及 Areal 的 交界 处 。 而 对 于 IS-IS 而 言 ， 两 个 区 域 的 交界 
处 却 并 不 在 设备 上 ， 而 是 在 链 路 上 ， 例 如 图 4-4 中 Area 49.0001 与 Area 49.0004 的 交界 
处 是 在 Rl1 与 R4 之 间 的 互联 链 路 上 。 

需要 强调 的 是 ，IS-IS 的 每 个 Level-1 区 域 必须 与 骨干 网 络 直接 相连 ， 以 Area 49.0001 
为 例 , 该 区 域 通过 Level-1-2 路 由 吉 R1 连接 到 了 骨干 网 络 。IS-IS 的 Level-1 区 域 与 OSPF 
中 的 Totally NSSA 非常 类 似 。Level-1-2 路 由 器 作为 Level-1 区 域 与 骨干 网 络 之 间 的 桥梁 ， 
将 其 通过 Level-1 区 域内 泛 潜 的 Level-1 LSP 计算 得 出 的 路 由 以 Level-2 LSP 的 形式 通告 
给 骨干 网 络 ， 使 得 骨干 网 络 中 的 路 由 器 能 够 计算 出 到 达 该 区 域内 相应 网 段 的 路 由 。 另 一 
方面 ， 缺 省 情况 下 Level-1-2 路 由 器 并 不 会 将 其 从 骨干 网 络 学 习 到 的 路 由 , 包括 到 达 其 他 
区 域 的 路 由 辐 本 地 Level-1 区 域 进 行 通告 ， 就 像 OSPF 不 会 问 某 个 Totally NSSA 下 发 描 
述 区 域 间 路 由 的 Type-3 LSA 一 样 。 因 此 一 个 区 域内 的 Level-1 路 由 器 仅 知 晓 到 达 本 区 域 
内 各 个 网 段 的 路 由 ， 而 对 于 区 域外 的 网 络 ， 它 是 一 无 所 知 的 ， 它 只 能 通过 指向 本 区 域 的 
Level-1-2 路 由 天 的 默认 路 由 来 到 达 区 域外 部 。IS-IS 的 这 个 设计 使 得 Level-1 路 由 器 的 
LSDB 及 路 由 表 规 模 极 大 程度 地 减 小 了 ， 从 而 设备 的 性 能 得 到 了 优化 。 

图 4-5 展示 了 一 个 典型 的 IS-IS 网 络 。 在 该 网 络 中 ，R1、R2 及 R3 属于 Level-l 区 域 
Area 49.0001，R2 与 R1、R3 与 Rl 均 建 立 Level-l 的 邻居 关系 。R1 能 够 根据 本 区 域内 所 
泛 潜 的 Level-1 LSP 计算 出 本 区 域内 的 网 络 拓 扑 ， 以 及 到 达 本 区 域内 各 网 段 的 路 由 。 而 
缺 省 时 ，R2 及 R3 不 会 将 到 达 Area 49.0001 区 域外 部 的 路 由 信息 注入 到 该 区 域 中 ，R2 
及 R3 都 在 其 向 49.0001 区 域 下 发 的 Level-1 LSP 中 设置 ATT 比特 位 (关于 该 比特 位 ， 本 
书 将 在 后 续 的 小 节 中 介绍 )， 而 该 区 域内 的 Level-1 路 由 器 则 基于 该 Level-1 LSP 产生 一 
条 指 问 R2 及 R3 的 默认 路 由 。 因 此 R1 不 会 学 习 到 去 往 Area 49.0002 的 路 由 ， 但 是 它 可 
以 通过 指向 R2 及 R3 的 默认 路 由 来 到 达 Area 49.0002 内 的 各 个 网 段 。 与 此 同时 ，R1、 
R2 及 R3 是 允许 将 外 部 路 由 引入 IS-IS 的 。 因 此 从 以 上 所 描述 的 特性 来 看 ，IS-IS 的 常规 
区 域 的 确 很 像 OSPF 的 Totally NSSA。 

当然 ， 在 某 些 场景 中 ， 我 们 可 能 期 望 Level-1 区 域内 的 路 由 器 获知 到 达 其 他 区 域 的 
具体 路 由 ，IS-IS 考虑 到 了 这 种 需求 ， 它 允许 网 络 管理 员 通 过 特定 的 配置 ， 向 Level-1 区 
域 注 入 到 达 其 他 区 域 的 路 由 ， 这 个 特性 被 称 为 路 由 渗透 ， 本 书 将 在 “路 由 渗透 ”一 节 中 
介绍 这 个 概念 。 
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R6 (Level-2 路 由 器) 





R4 (Level-2 路 由 器 ) A On RS (Level-2 路 由 器 ) 


WE TT 全 太古 让 


Ve 


图 4-5 ”IS-IS 的 区 域 


4.2.2 1S-IS 路 由 器 的 分 类 


运行 了 IS-IS 的 路 由 器 , 根据 其 全 局 Level (级 别 ) 属性 的 不 同 ， 可 以 分 为 两 种 类 型 ， 
分 别 是 Level-l 及 Level-2。 一 台 IS-IS 的 路 由 器 可 以 是 Level-1l 类 型 ， 或 者 是 Level-2 类 
型 ， 还 可 以 同时 是 Level-l1 和 Level-2 类 型 ， 对 于 同时 为 Level-1 和 Level-2 类 型 的 IS-IS 
路 由 器 , 我 们 将 其 称 为 Level-1-2 路 由 器 , 实际 上 这 并 不 是 一 种 单独 的 IS-IS 路 由 器 类 型 。 


ee IS-IS， 许 多 交换 机 、 防 火 墙 等 产品 也 支持 IS-IS， 因 此 路 
由 器 在 这 里 仅 是 一 个 代表 


1. Level-1 路 由 器 

Level-1 路 由 器 (如 图 4-5 中 的 R1) 是 一 种 IS-IS 区 域内 部 路 由 器 ， 它 只 能 够 与 同属 
一 个 区 域 的 其 他 Level-1 路 由 器 ， 或 者 同属 一 个 区 域 的 Level-1-2 路 由 器 建立 IS-IS 邻居 
关系 ， 我 们 将 这 种 邻 届 关系 称 为 Level-l 邻居 关系 。Level-l 路 由 器 无 法 与 Level-2 路 由 
器 建立 邻居 关系 。 

Level-1 路 由 器 只 维护 Level-l 的 LSDB， 它 能 够 根据 LSDB 中 所 包含 的 链 路 状态 信 
恩 计 算出 区 域内 的 网 络 拓扑 及 到 达 区 域内 各 网 段 的 最 优 路 由 。 值得 一 提 的 是 ，Level-1 路 
由 器 必须 通过 Level-1-2 路 由 器 接 入 IS-IS 骨干 网 络 从 而 访问 其 他 区 域 。 

2. Level-2 路 由 器 

Level-2 路 由 器 (如 图 4-5 中 的 R4、R5、R6 及 R7) 可 以 简单 地 视 为 IS-IS 骨干 网 络 
路 由 器 ， 实 际 上 IS-IS 的 骨干 网 络 是 由 一 系列 连续 的 Level-2 路 由 器 〈 及 Level-1-2 路 由 
器 ) 组 成 的 。 

Level-2 路 由 器 只 能 与 Level-1-2 或 Level-2 路 由 器 建立 IS-IS 邻居 关系 ， 我 们 将 这 种 
邻居 关系 称 为 Level-2 邻居 关系 。Level-2 路 由 器 只 维护 Level-2 的 LSDB。 在 一 个 典型 的 
IS-IS 网 络 中 ，Level-2 路 由 器 通常 拥有 整个 IS-IS 域 ( 包 插 该 域内 所 有 的 Level-l 区 域 及 
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Level-2 区 域 ) 的 所 有 路 由 信息 。 

3，Level-1-2 路 由 器 

所 谓 的 Level-1-2 路 由 器 是 同时 为 Level-l 及 Level-2 级 别 的 路 由 器 (如 图 4-5 中 的 
R2 及 R3)， 它 能 够 与 同属 一 个 区 域 的 Level-1、Level-1-2 路 由 器 建立 Level-1 邻居 关系 ， 
也 可 与 Level-2 路 由 器 或 Level-1-2 路 由 器 建立 Level-2 的 邻居 关系 。 

Level-1-2 路 由 噩 与 OSPF 中 的 ABR 非常 相似 , 它 也 是 IS-IS 骨干 网 络 的 一 个 组 成 部 
分 。Level-1-2 路 由 器 可 以 同时 维护 Level-1 的 LSDB 及 Level-2 的 LSDB， 这 两 个 LSDB 
分 别 用 于 Level-1 路 由 及 Level-2 路 由 计算 。 在 一 个 典型 的 IS-IS 网 络 中 ，Level-1-2 路 由 
右 通 常 连 接 看 一 个 Level-1 区 域 ， 也 连接 着 骨干 网 络 ， 它 将 作为 该 Level-1 区 域 与 其 他 区 
域 实现 通信 的 桥梁 ， 它 将 在 其 向 该 Level-1 区 域 下 发 的 Level-1 LSP 中 设置 ATT 比特 位 ， 
来 告知 区 域内 的 Level-l 路 由 器 可 以 通过 自己 到 达 区 域外 部 ,而 区 域内 的 Level-1 路 由 器 
则 根据 该 ATT 比特 置 位 的 LSP 产生 一 条 指 癌 该 Level-1-2 路 由 器 的 默认 路 由 。 

在 华为 的 路 由 器 上 配置 IS-IS 时 ， 缺 省 时 ， 路 由 器 的 全 局 Level 为 Level-1-2， 当 然 ， 
可 以 通过 命令 修改 该 设备 的 类 型 。 


4.2.3 ”度量 值 


IS-IS 使 用 Cost《 开 销 〉 作 为 路 由 度量 值 ， 所 谓 开 销 ， 亦 可 理解 为 成 本 或 者 代价 ， 
Cost 值 越 小 ， 则 路 径 《〈 路 由 ) 越 优 。IS-IS 路 由 的 Cost 与 设备 的 接口 有 关 ， 与 OSPF 类 
似 ， 每 一 个 激活 了 IS-IS 的 接口 都 会 维护 接口 Cost。 然 而 与 OSPF 不 同 的 是 ，IS-IS 接口 
的 Cost 在 缺 省 情况 下 并 不 与 接口 的 带宽 相关 ， 无 论 该 接口 的 带宽 如 何 ， 缺 省 时 其 Cost 
值 均 为 10， 当 然 ， 您 可 以 根据 实际 需要 修改 接口 的 Cost 值 。 这 种 接口 Cost 的 设计 显然 
在 某 些 场景 下 会 存在 一 些 问 题 , 例如 可 能 会 导致 设备 选择 Cost 更 优 的 低 带 宽 路 径 , 而 不 
是 选择 Cost 更 劣 的 高 带宽 路 径 。 

一 条 IS-IS 路 由 的 Cost 等 于 本 路 由 器 到 目标 网 段 沿途 的 所 有 出 接口 的 Cost 总 和 ,在 
图 4-6 所 示 的 网 络 中 ， 如 果 全 网 运行 了 IS-IS， 则 R1 将 通过 IS-IS 获知 到 达 3.3.3.0/24 的 
路 由 ， 而 在 Rl 的 路 由 表 中 ，3.3.3.0/24 路 由 的 Cost 值 为 30， 也 就 是 R3 的 GE0/0/0 接口 
Cost 加 上 R1 及 R2 的 GE0/0/0 接口 Cost。 

3.3.3.0/24 


GEO/O/O 
GEO/0/0 GEO0/0/0 Cost=10 
Cost=10 Cost=10 





RI1 R2 R3 


图 4-6 IS-IS 路 由 度量 值 与 接口 度量 值 





“TY 其实 IS-IS 定义 了 四 种 类 型 的 度量 值 : 缺 省 (Default) 度量 值 、 时 延 (Delay) 度 
量 值 、 开 销 (Expense) 度量 值 以 及 差错 (Error) 度量 值 ， 其 中 时 延 、 开 销 及 差错 度量 值 
在 现今 的 IS-IS 实现 中 几乎 都 不 再 支持 ， 本 书 讨 论 的 度量 值 指 的 是 缺 省 度量 值 ， 该 种 类 
型 的 度量 值 是 每 一 台 IS-IS 设备 都 必须 支持 的 。 
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缺 省 时 ， 华 为 路 由 器 使 用 的 IS-IS Cost 类 型 为 Narrow【〔〈 罕 )， 当 使 用 该 类 Cost 时 ， 
IS-IS 接口 Cost 的 长 度 为 6bit， 这 意味 看 一 个 接口 所 文 持 的 Cost 值 范 围 是 1 一 63。 夯 外 ， 
IS-IS 路 由 Cost 的 长 度 为 10bit， 这 意味 看 接收 到 的 路 由 最 大 的 Cost 值 为 1023。 显 然 ， 
在 面 对 大 规模 的 网 络 时 ， 这 种 Cost 的 限制 会 成 为 IS-IS 的 瓶 贷 。 正 因 如 此 ,IS-IS 引入 了 
Wide( 宽 ) 类 型 的 Cost， 当 IS-IS 使 用 Wide 类 型 的 Cost 时 ， 接 口 Cost 变 成 了 24bit， 这 
使 得 设备 的 接口 支持 更 大 的 Cost 值 范 围 ， 与 此 同时 一 条 路 由 的 Cost 值 范 围 也 有 了 相当 
大 的 扩展 。IS-IS 在 Cost 值 上 的 扩展 ， 使 得 它 突 破 了 前 面 所 提 到 的 瓶颈 ， 从 而 能 够 
支持 更 大 规模 的 网 络 ， 而 且 在 组 网 时 ， 基 于 Cost 的 路 由 控制 也 变 得 更 加 灵活 。 

使 用 如 下 命令 ， 可 以 将 IS-IS 的 Cost 类 型 修改 为 Wide: 


[Quidwayjisis 1 ep 
[Quidway-isis-1]jcost-style wide 


缺 省 时 ， 华 为 路 由 喜 使 用 的 IS-IS Cost 类 型 为 Narrow， 这 意味 看 路 由 器 只 能 接收 和 
发 送 Cost 类 型 为 Narrow 的 路 由 ， 使 用 cost-style wide 命令 将 设备 的 Cost 类 型 修改 为 
Wide 后 , 该 设备 只 能 接收 和 发 送 Cost 类 型 为 Wide 的 路 由 。 在 现实 网 络 中 ， 需 确保 IS-IS 
域内 所 有 的 路 由 器 配置 一 致 的 IS-IS Cost 类 型 。 在 华为 路 由 器 上 ， 除 了 能 将 IS-IS Cost 
类 型 指定 为 Narrow 或 Wide， 还 能 将 其 指定 为 特定 的 兼容 模式 ， 关 于 这 些 兼 容 模 式 的 介 
绍 已 经 超出 了 本 书 的 范围 。 

正如 上 文 所 说 ， 在 华为 的 路 由 器 上 部 署 IS-IS 时 ， 缺 省 状态 下 IS-IS Cost 类 型 为 
Narrow， 并 且 接 口 的 缺 省 Cost 值 为 10, 无 论 接 口 的 带宽 是 多 少 , 其 Cost 值 缺 省 均 为 10， 
这 在 某 些 场景 下 可 能 会 导致 TS-IS 的 路 由 优选 不 尽 如 人 和 意 。 其 中 一 个 侧 单 的 改进 方法 是 ， 
根据 组 网 的 实际 需求 去 手工 修改 设备 的 接口 Cost。 男 一 个 可 选 的 方法 则 是 使 用 IS-IS 自 
动 计算 接口 Cost 的 功能 。 这 个 功能 被 激活 后 ， 设 备 将 自动 根据 接口 的 市 宽 值 进行 该 接口 
Cost 值 的 计算 ， 这 与 OSPF 的 接口 度量 值 计 算 融 非常 相似 了 ， 设 备 将 使 用 一 个 参考 市 宽 
值 ( 缺 省 100Mbps， 可 以 在 IS-IS 配置 视图 下 使 用 bandwidth-reference 命令 修改 ) 除 以 接 
口 的 带宽 值 ， 再 将 所 得 结果 乘 以 10， 得 到 接口 的 Cost 值 。 例 如 千 兆 以 太 网 接口 缺 省 的 带 
宽 值 为 1000Mbps，100/1000X 10 得 到 的 结果 是 1， 因 此 和 干 兆 以 太 网 接口 在 激活 IS-IS 目 动 
计算 Cost 值 的 功能 后 ，Cost 值 为 1。 值得 一 提 的 是 ， 只 有 当 设 备 的 IS-IS Cost 类 型 指定 为 
Wide 或 Wide-compatible( 宽度 量 兼 容 模 式 ) 时 ， 上 述 计算 才 会 上 友 生 , 如 果 设 备 的 IS-IS Cost 
类 型 为 Narrow、Narrow-compatible 或 Compatible， 则 激活 了 自动 接口 Cost 计算 功能 后 ， 
设备 将 采用 如 表 4-1 所 示 的 对 应 关系 为 接口 设置 缺 省 Cost 值 。 在 设备 的 IS-IS 视图 下 ， 
执行 auto-cost enable 命令 ， 可 激活 目 动 计算 接口 Cost 的 功能 。 缺 省 时 该 功能 未 和 被 激活 。 


表 4-1 设备 接口 带宽 与 IS-IS 度量 值 的 对 应 关系 
接口 带宽 范围 ee ee ee ee 
接口 带宽 硅 10Mbit/s 60 
10Mbit/s 二 接口 带宽 硅 100Mbit/s 50 
100Mbit/s 二 接口 市 宽 夺 155Mbit/s 40 
155Mbit/s 达 接口 带 沉 硅 622Mbit/s 30 
622Mbit/s 达 接口 带宽 硅 2.5Gbit/s 20 


2.5Gbit/s 过 接口 带宽 10 
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如 需 手 工 指定 设备 的 接口 Cost 值 ， 可 在 接口 视图 下 使 用 isis cost 命令 ， 例 如 使 用 
isis cost 20， 可 将 接口 的 Cost 值 从 缺 省 值 修 改 为 20。 需 注意 的 是 该 命令 中 有 两 个 可 选 
关键 字 ， 它 们 分 别 是 level-1 及 level-2， 如 果 在 isis cost 命令 中 使 用 了 level-1 关键 字 ， 
那么 该 命令 配置 的 是 接口 的 Level-1 Cost 值 , 例如 isis cost 20 level-1。 同 理 , 如 果 在 isis 
cost 命令 中 使 用 了 level-2 关键 字 ， 那 么 该 命令 配置 的 是 接口 的 Level-2 Cost 值 。 而 如 
果 没 有 使 用 level-1 或 level-2 关键 字 ， 那 么 该 命令 配置 的 是 接口 的 Level-1 及 Level-2 
Cost 值 。 


4.2.4 ”1S-IS 的 三 张 表 


与 OSPF 非常 类 似 ，IS-IS 也 维护 着 三 张 非常 重要 的 数据 表 ， 它 们 分 别 是 。 

1. 邻居 表 

两 台 相 邻 的 IS-IS 设备 首先 必须 建立 邻居 关系 ， 然 后 才能 够 开始 交互 LSP。IS-IS 设 
备 将 和 直 连 链 路 上 发 现 的 邻居 加 载 到 目 己 的 邻居 表 中 。 在 华为 的 路 由 器 上 , 使 用 display isis 
peer 命令 可 查看 设备 的 IS-IS 邻居 表 ， 在 邻居 表 中 ， 大 家 能 看 到 邻居 的 系统 ID、 状态 、 
保 活 时 间 及 类 型 等 信息 。 

以 图 4-7 为 例 ， 如 果 在 R2 上 执行 该 条 命令 ， 可 以 看 到 如 下 输出 : 


<R2>display isis peer 
Peer information for ISIS(1) 
System Id Interface Circuit Id State HoldTime Type PRI 
000000000001 GEO00 0000000000010l Up 8 ui pp 
0000.0000.0003 GE0/0/1 0000.0000.0003.01 Up 23s 工 2 


从 上 述 输出 可 以 看 到 ，R2 已 经 发 现 了 两 个 邻居 ， 它 在 接口 CEO 上 发 现 了 邻 
届 R1( 系 统 ID 为 0000.0000.0001)， 该 邻居 状态 为 UDP， 保持 时 间 还 剩余 8 秒 ， 而 且 
该 邻居 的 类 型 为 Level-1 (Type 列 )， 其 接口 DIS 优先 级 为 64 (PRI 列 ); 另外 ，R2 
还 在 其 接口 GE0/0/1 上 发 现 了 邻居 R3， 并 且 该 邻居 的 类 型 为 Level-2、 接 口 DIS 优先 
级 为 64。 


和 





Area 49.0012 : F Area 49.0003 
3.3.3.0/24 
10.1.12.0/24 10.1.23.0/24 
1.1.1.0/24 | : 
I 
Level-1 路 由 器 Level-1-2 路 由 器 : : Level-2 路 由 器 : 
系统 ID 0000.0000.0001 系统 ID 0000.0000. 0002 . : 系统 ID 0000.0000.0003 : 


. a 
和 


图 4-7 IS-IS 的 三 张 表 


和 


2. LSDB ( Link-State Database， 链 路 状态 数据 库 ) 
两 人 台 直 连 的 IS-IS 设备 只 有 建立 了 邻居 关系 ， 才 能 够 开始 交互 LSP。IS-IS 设备 将 自 
己 产 生 的 、 以 及 网 络 中 所 泛 潜 的 LSP 收集 后 存储 在 自己 的 LSDB 中 。 与 OSPF 类 似 ， 
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IS-IS 也 使 用 LSDB 存储 链 路 状态 信息 ， 这 些 信息 将 被 用 于 网 络 拓扑 绘制 及 路 由 计算 。 
在 华为 路 由 器 上 ， 使 用 display isis lsdb 命令 可 查看 设备 的 IS-IS LSDB。 以 Ril 
为 例 : 


<R1>display'isis lsdb 

Database information for ISIS(1) 

Level-l Link State Database 

LSPID Seq Num Checksum Holdime Length ATT/P/OL 
0000.0000.0001.00-00* 。 0x00000009 Ox133 1191 86 0/0/0 
0000.0000.0001.01-00* 0x00000003 Oxbld9 1191 55 0/0/0 
0000.0000.0002.00-00 0x0000000b. 0xcdl9 1170 86 1/0/0 
Total LSP(s): 3 


*(In TLV)-Leaking Route, *(By LSPID)-Self ESP +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-Overload 


因为 Rl1 是 一 台 Level-1 路 由 器 ,所 以 它 只 维护 Level-1 LSDB, 从 以 上 输出 可 以 看 出 ， 
在 Rl 的 Level-1 LSDB 中 存在 三 个 LSP。 

每 个 LSP 都 采用 LSP ID (Link-State Packet ID， 链 路 状态 报 文 标识 ) 进行 标识 ，LSP 
ID 由 三 部 分 组 成 : 

。 6byte 的 系统 ID: 产生 该 LSP 的 IS-IS 路 由 器 的 系统 ID。 

e lbyte 的 伪 节 点 ID: 该 字段 的 值 存 在 0 及 非 0 两 种 情况 。 对 于 普通 的 LSP， 该 
字段 的 值 总 是 0; 对 于 伪 节 点 LSP，DIS (Designated Intermediate System， 指 定 中 间 系 
统 ) 负责 为 该 字段 分 配 一 个 非 0 的 值 。 关 于 DIS 及 伪 节 点 的 概念 将 在 后 续 的 章节 中 详 
细 介 绍 。 

。 1byte 的 分 片 号 : 如 果 一 个 LSP 过 大 ， 导 致 始 发 设备 需要 对 其 进行 分 上 请， 那么 该 
设备 通过 为 每 个 LSP 分 片 设置 不 同 的 分 片 号 来 对 它们 进行 标识 及 区 分 。 同 一 个 LSP 的 不 
同 分 请 必须 拥有 相同 的 系统 ID 及 伪 节 点 ID。 

以 Rl 产生 的 LSP ID 为 “0000.0000.0001.00-00” 的 LSP 为 例 ， 图 4-8 将 该 LSP ID 
的 三 个 组 成 部 分 描述 了 出 来 。 


0000.0000.0001.00-00 


系统 ID 伪 节 点 ID ”分 片 号 
图 4-8 LSPID 的 含义 


需要 注意 的 是 ,在 R1 的 LSDB 中 ， 有 两 个 LSP 在 LSPID 后 面 设置 了 星 号 “*”， 这 
个 星 号 表示 该 LSP 是 本 设备 产生 的 ， 这 两 个 LSP 分 别 是 0000.0000.0001.00-00 及 0000. 
0000.0001.01-00， 其 中 前 者 是 R1 产生 的 普通 LSP， 而 后 者 则 是 由 该 LAN 中 的 DIS 产生 
的 伪 节 点 LSP。 在 伪 节 点 LSP 的 LSP ID 中 ， 伪 节点 也 是 一 个 非 0 的 值 ， 而 对 于 普通 
LSP〈 非 伪 市 点 LSP)， 其 LSP ID 中 的 伪 书 点 ID 则 必须 为 0。 由 于 RI1 被 选举 为 DIS， 
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因此 它 负 责 产 生 伪 节点 LSP。 

LSDB 中 Seq Num 一 列 显 示 的 是 LSP 的 序列 号 ， 在 IS-IS 中 ，LSP 序列 号 的 概念 与 
OSPF 中 LSA 序列 号 的 概念 非常 类 似 ， 都 可 以 用 来 表示 一 个 LSP 的 新 旧 。 

细心 的 读者 可 能 已 经 发 现 , 在 R1 的 LSDB 中 ,并 没有 R3 所 产生 的 LSP， 这 是 因为 
R2 作为 该 Level-1 区 域 的 Level-1-2 路 由 器 ， 发 挥 着 类 似 区 域 边界 路 由 器 的 作用 ,和 它 不 会 
将 其 他 区 域 的 LSP 泛 洪 到 本 地 Level-1 区 域 中 。 

由 于 R2 是 一 台 Level-1-2 路 由 器 ,因此 它 会 同时 维护 Level-1 LSDB 及 Level-2 LSDB: 


<R2>display isis lsdb 
Database information for ISIS(1) 
Level-l1 Link State Database 
LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0001.00-00 0x0000000a 0xfe34 356 86 0/0/0 
0000.0000.0001.01-00 0x00000004 0xafda 356 55 0/0/0 人 
0000.0000.0002.00-00* 0x0000000d Oxc91b 413 "86 1/0/0 


Total LSP(s): 3 
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-Overload 


Level-2 Link State Database 
LSPID ”Seq Num Checksum Holdtime” Length ATT/P/OL 
0000.0000.0002.00-00* 0x00000011 Ox83a 413 98 0/0/0 
0000.0000.0003.00-00 0x00000008 0x3c5 402 70 0/0/0 
0000.0000.0003.01-00 0x00000004 0xc3c0 402 55 0/0/0 


Total LSP(s): 3 
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), PF 
ATT-Attached, P-Partition, OL-OQverload 


3. IS-IS 路 由 表 

每 台 IS-IS 设备 都 会 基于 目 己 的 LSDB 运行 相应 的 算法 , 最 终 计算 出 最 优 路 由 。IS-IS 
计算 出 的 路 由 存放 于 IS-IS 路 由 表 中 , 在 华为 路 由 器 上 使 用 display isis route 命令 可 以 得 
看 设备 的 IS-IS 路 由 表 。IS-IS 路 由 表 中 的 路 由 未 必 最 终 一 定 被 加 载 到 设备 的 全 局 路 由 表 
中 ， 这 还 取决 于 路 由 优先 级 等 因素 。 

以 图 4-7 为 例 ， 在 R1 上 执行 display isis route 命令 可 看 到 如 下 输出 : 

<R1>display isis route 


, 


Route information for ISIS(1) 
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IPV4 Destination IntCost ExtCost ExitIntertace NextHop Flags 
0.0.0.0/0 10 NULL GE0/0/0 10.1.12.2 A/-/-/- 
10.1.23.0/24 20 NULL GE0/0/0 ~ 10.1.12.2 A/:/-/- 
10.1.12.0/24 10 NULL GE0/0/0 Direct D/-/L/- 
1.1,1.0/24 10 NULL GE0/0/1 Direct D/-/L/- 
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S-IJGP Shortcut， 
U-Up/Down Bit Set 


由 于 R1 是 一 台 Level-l 路 由 器 ， 因 此 我 们 只 能 在 其 IS-IS 路 由 表 中 观察 到 Level-1 
路 由 。 
R2 的 IS-IS 路 由 表 如 下 : 


<R2>display isis route 


Route nformation for ISIS(1) 


IPV4 Destination JntCost ExtCost ExitInterface NextHop Flags 
10.1.23.0/24 10 NULL GE0/0/1 Direct D/-/L/- 
10.1.12:0/24 10 NULL- GE0/0/0 Direct D/-/L/- 
1.1.1.0/24 20 NULL GEO0/0/0 10.1.12.1 A/-/L/- 
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S-IGP Shortcut， 
| U-Up/Down Bit Set 


ISIS(1) Level-2 Forwarding Table 


IPV4 Destination IntCost ExtCost ExitInterface NextHop Flags 
10.1.23.0/24 10 NULL GE0/0/1 Direct D/-/L/- 
3.3.3.0/24 10 NULL GE0/0/] 10.1.23.3 A/-/-/- 
10.1.12.0/24 10 NULL GE0/0/0 Direct D/-/L/- 


Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S$-IGP Shortcut, 
U-Up/Down Bit Set 


除了 通告 到 IS-IS 的 本 地 直 连 路 由 , R2 还 通过 IS-IS 学 习 到 了 Level-1 路 由 1.1.1.0/24， 
以 及 Level-2 路 由 3.3.3.0/24。R2 是 一 台 Level-1-2 路 由 器 ， 因 此 它 分 别 使 用 Level-1 及 
Level-2 路 由 表 存 储 不 同类 型 的 IS-IS 路 由 。 

从 以 上 的 摘 述 可 以 看 出 ,IS-IS 将 路 由 分 为 Level-1 路 由 及 Level-2 路 由 。 其 中 Level-1 
路 由 是 设备 根据 Level-1 LSDB 计算 出 的 路 由 , 而 Level-2 路 由 则 是 根据 Level-2 LSDB 计 
算出 的 路 由 。 当 一 全 IS-IS 设备 发 现 了 一 条 到 达 某 个 目的 网 段 的 Level-l 路 由 ， 又 发 现 了 
到 达 相 同 目的 网 段 的 Level-2 路 由 时 , Level-l 路 由 将 会 被 优选 , 即使 其 Cost 劣 于 Level-2 
路 由 。 

接 下 来 再 看 R2 的 全 局 路 由 表 ， 大 家 也 能 直观 地 看 到 IS-IS 路 由 的 类 型 : 


<R2>display ip routing-table protocol isis 
Route Flags: R - relay, D - download to fib 
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Public routing table : ISIS 
Destinations : 2 Routes : 2 


ISIS routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
1.1.1.0/24 -ISIS-L1, 15 -20 D 10.1.12.] GigabitEthernet0/0/0 


3.3.024 ISISL2 15. "10 D 10.1.23.3 GigabitEthernet0/0/1 


ISIS routing table status : <Inactive> 
Destinations : 0 Routes :0 


4.2.5 ”协议 报 文 


与 OSPF 报 文采 用 IP 封装 不 同 ，IS-IS 的 协议 报 文 直接 采用 数据 链 路 层 封 装 ， 所 以 
IS-IS 相 比 于 OSPF 少 了 卫 层 的 封装 ， 从 这 个 层面 上 看 ， 相 比 之 下 IS-IS 报 文 的 封装 效率 
更 高 。 在 以 太 网 环境 中 ，IS-IS 报 文 载荷 直接 封装 在 以 太 网 数据 帧 中 。IS-IS 使 用 了 以 下 
几 种 PDU (Protocol Data Unit， 协 议 数据 单元 )。 

1. IIH (IS-IS Hello ) 

IIH PDU 用 于 建立 及 维护 IS-IS 的 邻居 关系 。 在 IS-IS 中 存在 三 种 IH PDU: Level-l 
LAN IIH、Level-2 LAN IIH 及 P2P IIH。 其 中 Level-1 LAN IIH 及 Level-2 LAN IIH 用 于 
Broadcast 类 型 的 网 络 中 ， 如果 网 络 设备 为 Level-l 设备 ， 则 它 在 Broadcast 类 型 的 接口 上 
发 送 及 侦 昕 Level-1 LAN ITH; 如 果 网 络 设备 为 Level-2 设备 ， 则 它 在 Broadcast 类 型 的 接 
口上 发 送 及 侦 听 Level-2 LAN IIH; 如 果 网 络 设备 为 Level-1-2 设备 ， 在 缺 省 时 ， 它 在 
Broadcast 类 型 的 接口 上 发 送 及 侦 听 这 两 种 类 型 的 LAN IIH。P2P IIH 用 于 P2P 类 型 的 网 
络 中 。 






“关于 IS-IS 的 网 络 类 型 ， 将 在 下 一 个 小 节 中 介绍 。 


2. LSP (Link-State Packet ) 

IS-IS 使 用 LSP 承载 链 路 状态 信息 。LSP 类 似 OSPF 中 的 LSA， 只 不 过 后 者 并 非 以 
独立 报 文 的 形式 存在 ， 必 须 使 用 LSU 报 文 来 承载 ， 而 LSP 是 一 种 独立 的 PDU。 

LSP 存在 Level-1 LSP 及 Level-2 LSP 之 分 ， 具 体 发 送 哪 一 种 LSP 视 IS-IS 邻居 关系 
的 类 型 而 定 。 例 如 A 与 B 建立 了 Level-l 邻居 关系 ， 那 么 双方 将 交互 Level-1 LSP， 而 如 
果 A 与 B 同 为 Level-1-2 路 由 器 ,并 且 建 并 了 Level-1 及 Level-2 两 种 邻居 关系 , 则 Level-1 
LSP 及 Level-2 LSP 均 会 在 两 者 之 间 交 互 。 

3， CSNP ( Complete Sequence Number PDU， 完 全 序列 号 报 文 ) 

CSNP 存在 Level-1 CSNP 与 Level-2 CSNP 之 分 ， 不同 的 IS-IS 邻居 关系 交互 不 同 
类 型 的 CSNP。 一 个 IS-IS 设备 发 送 的 CSNP 包含 该 设备 LSDB 中 所 有 的 LSP 摘要 。 
CSNP 主要 用 于 确保 LSDB 的 同步 ， 在 这 个 层面 上 看 ，CSNP 与 OSPF 的 DBD 报 文 的 
功能 相似 。 
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正如 上 文 所 说 ，CSNP 中 包含 始 发 设备 的 LSDB 中 所 有 LSP 的 摘要 信息 ， 一 条 LSP 
的 摘要 信息 包括 该 LSP 的 LSP ID、 序 列 号 、 剩 余生 存 时 间 以 及 校 验 和 ， 这 四 个 信息 是 
LSP 头 部 当中 的 关键 元 素 。CSNP 使 用 LSP 条 目 TLV 来 承载 这 些 LSP 摘要 信息 。 关 于 
TLYV 的 概念 ， 我 们 将 在 本 节 的 后 续 内 容 中 介绍 。 

4. PSNP ( Partial Sequence Number PDU， 部 分 序列 号 报 文 ) 

PSNP 存在 Level-1 PSNP 与 Level-2 PSNP 之 分 ， 与 CSNP 不 同 ，PSNP 中 只 包含 部 
分 LSP 的 摘要 信息 (而 不 是 全 部 )。PSNP 主要 用 于 请 求 LSP 更 新 。 另 外 ，PSNP 还 用 于 
在 P2P 网 络 中 对 收 到 的 LSP 进行 确认 ( 注 : 关于 IS-IS 的 网 络 类 型 ， 将 在 后 续 的 小 节 中 
介绍 )， 因 此 从 这 个 层面 看 ，PSNP 实现 了 OSPF 中 的 LSR 及 LSAck 报 文 的 功能 。 

关于 IS-IS PDU 报 文 结构 的 详细 介绍 超出 了 本 书 的 范围 , 读者 朋友 们 如 果 有 兴 
可 以 查阅 相关 标准 文档 。 人 简单 地 说 ，IS-IS PDTU 的 报 文 结构 主要 包含 3 个 部 分 : 通用 
的 头 部 、PDU 特有 的 头 部 以 及 可 变 长 部 分 。 其 中 通用 的 头 部 指 的 是 所 有 IS-IS PDU 都 
拥有 的 、 相 同 格式 的 头 部 。 除 了 这 个 头 部 之 外 ， 每 种 PDU 还 有 目 己 特有 的 头 部 。 另 
外 ，PDU 中 的 可 变 长 部 分 包含 该 PDU 中 非常 天 键 的 内 容 ，IS-IS 采用 三 元 组 的 格式 存 
储 这 些 内 容 。 实 际 上 , IS-IS 之 所 以 拥有 如 此 高 的 可 扩展 性 正 是 得 益 于 这 部 分 功能 模块 
的 设计 。 

设想 一 下 ， 如 果 您 希望 在 一 个 报 文中 携带 一 些 关 键 信息 ， 而 且 这 些 关 键 信息 的 内 容 
及 内 容 长 度 都 各 不 相同 的 ， 此 外 ， 随 着 业务 的 发 展 ， 信 息 的 类 型 也 在 不 断 变化 ， 那 么 能 
否 设计 一 种 具有 高 可 扩展 性 的 方法 ， 使 得 报 文 主体 不 做 改变 的 情况 下 依然 能 够 适应 新 的 
业务 需求 ， 依 然 能 够 承载 新 的 关键 信息 ? TLY (Type-Length-Value， 类 型 一 长 度 一 值 ) 
的 设计 完美 地 解决 了 这 个 问题 。 所 谓 TLY, 顾名思义 ,就 是 类 型 、 长 度 以 及 值 的 三 元 组 ， 
例如 颜色， 两 个 字 ， 黑 色 ) 便 是 一 个 典型 的 TLV 的 实例 。 

在 IS-IS 中 ，TLV 中 的 每 个 元 素 的 搞 述 如 下 。 

。 类 型 (Type): 该 字段 的 长 度 为 lbyte， 它 标识 了 这 个 TLV 的 类 型 ，IS-IS 定义 了 
丰富 的 TLV 类型， 不 同 的 TLV 类 型 用 于 携带 不 同 的 信息 。 

。 长 度 (Length): 该 字段 的 长 度 为 lbyte, 它 存储 的 数据 用 于 指示 后 面 的 第 三 元 ( 值 ) 
的 长 度 。 由 于 不 同 的 TLV 类 型 所 描述 的 信息 不 同 ， 因 此 信息 的 长 短 可 能 也 有 所 不 同 ， 本 
字段 指示 了 该 TLV 中 值 的 长 度 。 

。 值 (Value): 该 字段 的 长 度 是 可 变 的 ， 所 占用 的 字 节 数 在 长 度 字 段 中 摘 述 。 本 字 
段 的 值 就 是 该 TLV 所 携带 的 有 效 内 容 。 





和 在 某 些 资料 中 ，TLV 也 被 称 为 CLV (Code-Length-Value， 代 码 一 长 度 一 值 )。 


图 4-9 展示 了 TLYV 在 IS-IS PDU 中 的 应 用 。 从 图 中 能 看 到 PDU 通用 头 部 、PDU 特 
有 的 头 部 ， 以 及 后 面 所 携带 的 多 个 TLV。 实 际 上 ，IS-IS 的 每 种 PDU 都 会 携带 一 定数 量 
的 TLV。TLV 的 设计 使 得 IS-IS 的 灵活 性 和 可 扩展 性 变 得 非常 高 。 随 厦 业 务 的 发 展 ， 网 
络 势 必 会 对 IS-IS 不 断 提出 新 的 需求 ， 而 IS-IS 则 可 以 在 不 对 协议 做 大 的 改动 的 前 提 下 ， 
仅 通 过 引入 新 的 TLV 来 实现 对 新 需求 的 文 持 ， 这 就 是 TLV 的 魅力 所 在 。 
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域内 路 由 选择 协议 鉴别 符 
版 本 / 协议 ID 扩展 






YD Rr 于 和 


PDU 通用 
头 部 





版 本 
保留 
最 大 区 域 地 址 数 
下 
值 
类 型 
长 度 


LV 
TLV 


| PDU 特有 
| 


图 4-9 PDU 中 的 TLY 


IS-IS 定义 了 丰富 的 TLY， 表 4-2 中 列举 了 几 个 常见 的 TLV。 
表 4-2 常见 的 TLV 


类 型 值 


使 用 该 TLV : 










] 区 域 地 址 (Area Addresses ) 擅 述 设备 所 处 区 域 的 地 址 
. 描述 设备 的 IS-IS 邻居 (的 系统 ID )， 
人 
、 描述 设备 在 该 LAN 上 发 现 的 IS-IS 邻 
A Er 
8 用 于 报 文 填充 
CSNP 及 包含 各 条 LSP 的 摘要 信息 (LSP ID、 
| PSNP | LSP 序列 号 、 剩余 生存 时 间 及 校 验 和 ) 
10 认证 (Authentication ) 所 有 报 文 用 于 存储 认证 信息 
IP 内 部 可 达 性 信息 (CIP Internal ER 描述 IS-IS 域内 的 目的 网 段 , 以 及 到 达 
Reachability Information ) 该 目的 网 段 的 度量 值 
IP 外 部 可 达 性 信息 (IP External a 描述 IS-IS 域外 的 目的 网 段 , 以 及 到 达 
Reachability Information ) 该 目的 网 段 的 度量 值 
132 | IP 接 口 地 址 (IP Interface Address) 设备 的 接口 PP 地址 
4.2.6 LSP 


我 们 已 经 知道 ， 典 型 的 IS-IS 网 络 通常 采用 两 级 的 层次 结构 ， 一 层 是 由 连续 的 Level-1 
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及 Level-1-2 路 由 器 组 成 的 Level-1l 区 域 ,，Level-1 区 域 可 能 存在 多 个 ; 另 一 层 则 是 由 连续 
的 Level-1-2 及 Level-2 路 由 右 组 成 的 网 络 骨 干 ，IS-IS 网 络 骨 干 也 可 能 禾 关 多 个 Level-2 
区 域 。Level-1 路 由 器 会 产生 Level-1 LSP， 该 LSP 只 在 始 发 Level-l 区 域内 部 泛 洪 ， 另 
外 ，Level-1 路 由 器 会 将 目 己 产生 的 以 及 区 域内 其 他 路 由 口 产 生 的 Level-1 LSP 存储 在 
Level-1 LSDB 中 ， 然 后 基于 这 些 LSP 计算 出 区 域内 的 拓扑 和 到 达 区 域内 各 个 网 段 的 路 由 。 
Level-1 区 域 的 Level-1-2 路 由 费 相 当 于 区 域 边界 路 由 器 的 角色 ， 它 会 同时 维护 Level-1 
及 Level-2 LSDB, 它 根 据 Level-1 LSDB 中 的 信息 计算 出 该 Level-1 区 域 的 拓扑 及 到 达 该 
区 域内 各 个 网 段 的 路 由 ， 缺 省 时 ， 它 会 将 到 达 该 Level-1 区 域 的 路 由 在 自己 注入 骨干 网 
络 中 的 Level-2 LSP 中 进行 通告 ,这 使 得 IS-IS 域内 的 骨干 路 由 器 都 能 够 学 习 到 去 往 这 个 
Level-1 区 域 的 路 由 ; 另 一 方面 ，Level-1-2 路 由 器 通过 Level-2 LSDB 计算 出 到 达 其 他 区 
域 的 路 由 ， 但 是 缺 省 时 ， 它 并 不 将 这 些 路 由 通过 目 己 在 Level-l 区 域内 泛 洪 的 Level-1 LSP 
进行 通告 ， 关 于 这 点 在 前 和 面 的 章节 中 已经 介绍 过 了 ， 这 里 不 再 著述 。 

OSPF 使 用 了 多 种 类 型 的 LSA 来 对 网 络 的 拓扑 及 网 段 信 息 进 行 描述 ， 然 而 IS-IS 只 
使 用 两 种 LSP: Level-1 及 Level-2 LSP。 图 4-10 展示 了 LSP 的 报 文 格式 ， 在 图 中 能 看 到 
IS-IS PDU 通用 的 头 部 ， 在 该 头 部 后 面 便 是 LSP 报 文 载荷 。LSP 报 文 载荷 包含 两 部 分 ， 
第 一 部 分 是 LSP 特有 的 头 部 ， 另 一 部 分 则 是 TLV。 


域内 路 由 选择 协议 鉴别 符 


PDU 通用 
头 部 


| 最 大 区 域 地 址 数 


剩余 生存 时 间 
ee 
的 


校 验 和 LT 省 


ep nr 
a 


TLV ] 变 长 字段 


图 4-10 LSP 报 文 格式 


LSP 中 的 主要 字段 及 含义 如 下 : 

。 PDU 长 度 (PDU Length): 指示 该 PDU 的 总 长 度 (单位 为 学 节 )。 

。 剩余 生存 时 间 (Remaining Lifetime): 指示 该 LSP 的 剩余 存活 时 间 【〈 单 位 为 秒 )。 

。 LSP 标识 符 (LSP ID): LSP ID 由 三 部 分 组 成 : 该 设备 的 系统 ID、 伪 节点 ID 以 
及 分 片 编号 。 关 于 LSPID， 我 们 已 经 在 前 面 的 小 节 中 讨论 过 了 。 
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。 序列 号 (Sequence Number): 该 LSP 的 序列 号 。 在 IS-IS 中 ，LSP 序列 号 的 作用 

与 OSPF 中 LSA 序列 号 的 作用 类 似 ， 主 要 用 于 区 分 LSP 的 新 旧 。 

e 校 验 和 (Checksumy): 校 验 和 。 

。P (Partition Repair): 如 果 设 备 文 持 区 域 划 分 修复 特性 ， 则 其 产生 的 LSP 中 该 比 
特 位 将 被 设置 为 1。 关于 区 域 划分 修复 特性 的 介绍 超出 了 本 书 的 范围 。 

。ATT (Attached bits): 也 即 关 联 位 ， 实 际 上 该 字段 共 包 含 四 个 比特 位 (分 别 对 应 
四 种 度量 值 类 型 )， 但 是 华为 数 通 产品 只 使 用 了 其 中 一 个 比特 位 Default Metric)。 

在 典型 的 IS-IS 网 络 中 ,Level-1 区 域 的 Level-1-2 路 由 器 作为 区 域 边界 路 由 器 被 使 用 ， 
它 一 方面 连接 着 该 Level-l 区 域 ， 另 一 方面 连接 着 IS-IS 骨干 网 络 。 当 Level-1-2 路 由 器 
连接 着 IS-IS 骨干 网 络 时 ， 它 会 在 自己 产生 的 Level-1LSP 中 ， 将 ATT 比特 位 设置 为 1。 

。 OL (Overload bit): 也 即 过 载 位 ， 通 常情 况 下 ，IS-IS 设备 产生 的 LSP 中 该 比特 
位 被 设置 为 0; 如果 该 比特 位 被 设置 为 1， 则 意味 着 该 LSP 的 始 发 设备 希望 通过 该 比特 
位 声明 目 己 已 经 “过 载 ”， 而 收 到 该 LSP 的 其 他 IS-IS 设备 在 进行 路 由 计算 时 ， 只 会 计算 
到 达 该 LSP 始 发 设备 的 直 连 路 由 ， 而 不 会 计算 穿越 该 设备 、 到 达 远 端 目的 网 段 的 路 由 。 

e IS 类 型 (IS Type): 用 于 指示 产生 该 LSP 的 路 由 器 是 Level-1 还 是 Level-2 类 型 ， 
如 果 该 字段 的 值 为 二 进 制 的 01， 则 表示 Level-1 路 由 器 ; 如 果 为 二 进 制 的 11， 则 表示 
Level-2 路 由 器 。 

在 图 4-11 中 ，R1 为 Level-l 路 由 器 ，R2 为 Level-1-2 路 由 器 ， 两 者 同属 一 个 Level-1 
区 域 ，R3 为 Level-2 路 由 器 。 三 台 路 由 右 的 系统 ID 均 采 用 0000.0000.000X 格式 ， 其 中 
X 为 设备 编号 。 图 中 简单 地 描绘 了 R2 在 Area 49.0012 中 产生 的 Level-1 LSP， 以 及 发 送 
到 IS-IS 骨干 网 络 的 Level-2 LSP。 


EE 


Area 49.0012 : Area 49.0003 










GEO/0/0 
192.168.2.254/24 


GEO/0/0 
192.168.3.254/24 | 











S1/0/0 $1/0/1 村 
R1 10.1.12.1/24 10.1.12.2/24 = R2 10.1.23.2/24 : : 10.1.23.3/24 R3 


Level-1 LSP Level-2 LSP: : 


TT EE TT PT AT 


PE 


i LSP ID: 0000.0000.0002.00-00 
; 序列 号 : 0x00000011 
i AIT 比特 位 : 0 





i LSP ID: 0000.0000.0002.00-00 
i 序列 号 : 0x00000010 
i ATT 比特 位 : 1 











BESTETETILIEE TE 


; 区 域 地 址 TLV: 49.0012 
:IS 邻居 TLV: 0000.0000.0003，Cost=10 | 





:区域 地 址 TLV; 49.0012 : 
ES 邻居 TLV: 0000 0000.0001.00，Cost=] oi 





:IP 接口 地 址 TL ; IP 接口 地 址 TLV: 
: 192.168.2. 3 10. 1.:12.2\" 1Q:1.23;2 : 192.168.2.254、 10.1.12.2、10.1.23.2 
:IP 内 部 可 达 性 信息 TLV: 、 : IP 内 部 可 达 性 信息 TLV: 





: 192.168.2.0/24,，Cost=10 
: 10.1.12.0/24，Cost=10 
:10.1.23.0/24，Cost=10 


192.168.2.0/24，Cost=10 
10.1.12.0/24,. Cost=10 
10.1.23.0/24，Cost=10 







DETECT 





图 4-11 Level-l LSP 及 Level-2 LSP 
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R2 的 IS-ISLSDB 如 下 : 


<R2>display isis lsdb 
Database information for ISIS(1) 
Level-1 Link State Database 
LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0001.00-00 0x0000000a 0x498c 374 70 0/0/0 


0000.0000.0002.00-00* 0x00000010 0x2051 519 102 1/0/0 


Total LSP(s): 2 
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-Overload 


Level-2 Link State Database 
LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0002.00-00* 0x00000011 0x4432 521 102 0/0/0 
0000.0000.0003.00-00 0x0000000b 0xc390 518 86 0/0/0 


Total LSP(s): 2 
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
ATT-Attached, P=Partition, OL-Overload 

在 R2 的 Level-1 LSDB 中 ， 我 们 可 以 看 到 R1 产生 的 Level-1 LSP (0000.0000. 
0001.00-00)， 以 及 R2 自己 产生 的 Level-1 LSP (0000.0000.0002.00-00)。 其 中 ， 后 者 的 
ATT 比特 位 被 设置 为 了 1( 留 意 以 上 输出 中 的 ATT/P/OL 列 ); 在 R2 的 Level-2 LSDB 中 ， 
可 以 看 到 R2 自己 产生 的 Level-2 LSP(0000.0000.0002.00-00), 以 及 R3 产生 的 Level-2 LSP 
(0000.0000.0003.00-00)。 

在 display isis lsdb 命令 中 增加 verbose 关键 字 可 以 合 看 LSP 的 详细 信息 ， 例 如 在 
R2 上 执行 display isis lsdb 0000.0000.0002.00-00 verbose 命令 ， 可 看 到 如 下 输出 : 

<R2>display isis lsdb 0000.0000.0002.00-00 verbose 


Database information for ISIS(1) 


Level-l Link State Database 


LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0002.00-00* Ox00000010 Oxle52 1190 102 1/0/0 
SOURCE 0000.0000.0002.00 
NLPID IPV4 


AREA ADDR 49.0012 
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INTF ADDR 192.168.2.254 
INTF ADDR 10.1.12.2 
INTF ADDR 10.1.23.2 


NBR ID 0000.0000.0001.00 COST: 10 

IP-Internal 192.168.2.0 255.255.255.0 COST: 10 

IP-Internal 10.1.12.0 255.253.255.0 COST: 10 

IP-Internal 10.1.23.0 255.255.255.0 COST: 10 
Total LSP(s): 1 


*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-Overload 


Level-2 Link State Database 


LSPID Seq Num Checksum Holdtime ~ - Length ATT/P/OL 


0000.0000.0002.00-00* Ox00000011 0x4233 1190 102 0/0/0 
SOURCE 0000.0000.0002.00 
NLPID IPV4 


AREAADDR 49.0012 

INTF ADDR 192.168.2.254 
INTF ADDR 10.1.12.2 
INTF ADDR 10.1.23.2 


NBR ID 0000.0000.0003.00 COST: 10 

IP-Internal 192.168.2.0 255.255.255.0 COST: 10 
IP-Internal 10.1.12.0 255.255.255.0 COST: 10 
IP-Internal 10.1.23.0 255.255.255.0 COST: 10 


Total LSP(s): 1 
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-Overload 
以 上 输出 的 是 LSP ID 为 0000.0000.0002.00-00 的 详细 信息 ， 从 这 些 输 出 中 ， 能 直观 
地 看 到 LSP 所 携 市 的 TLVY。 


4.2.7 ”网 络 类 型 


IS-IS 文 持 两 种 网 络 类 型 : Broadcast〈 广 播 ) 及 P2P (Point-to-Point， 点 对 点 )。 当 设 
备 的 接口 激活 IS-IS 后 ，JIS-IS 会 自动 根据 该 接口 的 数据 链 路 层 封装 决定 该 接口 的 IS-IS 
网 络 类 型 。 当 IS-IS 在 以 大 网 接口 上 被 激活 时 ， 该 接口 的 网 络 类 型 被 指定 为 Broadcast， 
而 如 果 IS-IS 在 一 些 广域网 接口 上 被 激活 (例如 接口 的 封装 类 型 为 PPP 或 HDLC 等 )， 
则 接口 的 网 络 类 型 被 指定 为 P2P。 对 于 不 同 的 网 络 类 型 ，IS-IS 的 操作 是 存在 较 大 差 
异 的 。 

1. Broadcast 网 络 类 型 

1) 在 Broadcast 网 络 中 ，IS-IS 会 进行 DIS 的 选举 ，DIS 是 一 个 与 OSPF 中 的 DR 非 
常 类 似 的 概念 。 我 们 将 在 “DIS 与 伪 节 点 ”一 节 中 介绍 相关 概念 。 

2)IS-IS 在 Broadcast 类 型 的 接口 上 使 用 两 种 IIH PDU, 它们 分 别 是 Level-1 LAN IIH 
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(目的 MAC 地 址 为 组 播 地 址 0180-c200-0014) 和 Level-2 LAN IIH (目的 MAC 地址 为 组 
播 地 址 0180-c200-0015)。 具 体 使 用 哪 种 PDU， 取 决 于 设备 接口 的 Level (级 别 )。 如 果 
设备 接口 的 Level 为 Level-1, 那么 设备 将 在 该 接口 上 发 送 及 侦 听 Level-1 LAN IIH; 如 果 
设备 接口 的 Level 为 Level-2， 那么 设备 将 在 该 接口 上 发 送 及 侦 听 Level-2 LAN IIH; 如 果 
设备 接口 的 Level 为 Level-1-2， 那 么 设备 将 在 该 接口 上 发 送 及 侦 昕 Level-1 LAN IIH 以 
及 Level-2 LAN IIH。 





我 们 已 经 知道 ,运行 JS-IS 的 设备 将 维护 一 个 全 局 的 Level 属性 ,设备 的 全 局 Level 
属性 可 以 是 Level-1、Level-2 或 者 同时 为 Level-l 及 Level-2 (也 就 是 Level-1-2) 。 对 于 
Level-1 设备 ， 其 所 有 激活 了 IS-IS 的 接口 的 Level 为 Level-1; 对 于 Level-2 设备 ， 其 所 
有 激活 了 IS-IS 的 接口 的 Level 为 Level-2; 而 对 于 Level-1-2 设备 ， 其 所 有 激活 了 IS-IS 
的 接口 的 Level 缺 省 为 Level-1-2， 此 时 该 接口 可 以 同时 发 送 及 接收 Level-1 LAN JUH 及 
Level-2 LAN IIH。 如 果 Level-1-2 设备 的 接口 连接 了 一 台 Level-1 设备 ， 那 么 该 接口 发 送 
Level-2 LAN IIH 是 没有 意义 的 ， 此 时 可 通过 命令 修改 接口 的 Level。 

在 华为 数 通 产品 上 ， 在 设备 的 接口 视图 下 使 用 isis cireuit-level 命令 可 修改 该 接口 
的 IS-IS Level。 该 命令 可 以 关联 level-l、level-2 或 level-1-2 关键 字 , 例 如 执行 isis circuit- 
level level-2 命令 ， 可 以 将 接口 的 Level 修改 为 Level-2。 该 命令 只 在 Level-1-2 设备 上 
有 效 。 


台 直 连 的 Level-l 设备 〈 必 须 属 于 同一 个 区 域 ) 在 各 上 自 的 直 连 接口 〈Broadcast 接 
口 ， 下 同 ) 上 激活 IS-IS 后 ， 会 开始 发 送 及 侦 听 Level-1 LAN IIH， 并 建立 Level-l 的 邻 
居 关 系 ; 两 台 直 连 的 Level-2 设备 在 各 上 自 的 直 连 接口 上 激活 IS-IS 后 ， 会 开始 发 送 及 侦 听 
Level-2 LAN IIH， 并 建立 Level-2 的 邻居 关系 ; 而 两 台 直 连 的 Level-1-2 设备 在 各 日 直 连 
接口 上 激活 IS-IS 后 ， 则 分 别 发 送 及 侦 听 Level-1 及 Level-2 LAN IIH， 此 时 如 果 两 台 设 
备 同 属 一 个 区 域 ， 则 它们 将 分 别 建立 Level-1 以 及 Level-2 两 种 邻居 关系 ， 也 即 Level-1 
及 Level-2 的 邻居 关系 独立 建立 ， 互 不 干扰 。 

3) 在 Broadcast 类 型 的 网 络 中 ，DIS 会 周期 性 地 泛 洪 CSNP， 以 确保 该 网 络 中 的 
IS-IS 设备 拥有 一 致 的 LSDB。CSNP 中 包含 该 DIS 的 LSDB 中 所 有 LSP 的 摘要 信息 。 
CSNP 使 用 LSP 条 目 TLV 来 承载 这 些 LSP 摘要 。 同 一 个 Broadcast 网 络 中 的 其 他 IS-IS 
设备 收 到 该 CSNP 后 ， 将 其 中 包含 的 LSP 摘要 与 本 地 LSDB 进行 对 比 ， 如 果 发 现 两 
者 一 致 ， 则 忽略 该 CSNP; 如 果 发 现 本 地 LSDB 中 缺少 了 某 条 或 某 些 LSP， 则 向 DIS 
. 发 送 PSNP 来 请 求 这 些 LSP 的 完整 信息 (PSNP 也 使 用 LSP 条 目 TLV 来 承载 这 些 被 
请 求 的 LSP 的 摘要 信息 )。 而 后 者 收 到 该 PSNP 后 ,从 该 PSNP 的 LSP 条目 TLV 中 解 
析出 被 请 求 的 LSP， 然 后 将 相应 的 LSP 发 送 给 对 方 。 收 到 该 LSP 的 一 方 将 该 LSP 更 
新 到 自己 的 LSDB 中 ， 并 且 无 需 癌 LSP 发 送 方 进行 确认 〈 这 点 与 P2P 网 络 类 型 中 的 
相关 操作 不 同 )。 

2，、P2P 网 络 类 型 

1) IS-IS 在 P2P 网 络 无 需 选 举 DIS 。 
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2) IS-IS 在 P2P 网 络 中 使 用 P2P IIH 发 现 及 维护 IS-IS 邻 届 关系 。 缺 省 时 ，Hello 报 
文 的 发 送 间隔 为 10 秒 。 

3) 在 P2P 网 络 中 ， 当 IS-IS 设备 之 间 完 成 邻居 关系 建立 后 ， 便 开始 交互 LSP。 设 备 
从 邻居 收 到 LSP 后 ， 需 使 用 PSNP 进行 确认 ， 以 便 告知 对 方 目 己 已 经 收 到 了 该 LSP。 从 
以 上 描述 可 以 看 出 ， 在 P2P 网 络 中 ，LSP 的 更 新 采用 的 是 一 种 可 靠 的 方式 。 如 果 一 段 时 
间 后 ， 对 方 没有 收 到 用 于 确认 的 PSNP， 则 它 会 对 LSP 进行 重 传 。 另 外 ，CSNP 只 在 邻 
居 关 系 建立 完成 后 ， 双 方 进行 一 次 交互 ， 此 后 不 会 周期 性 地 发 送 。IS-IS 设备 收 到 邻居 发 
送 的 CSNP 后 ,将 其 中 包含 的 LSP 摘要 与 本 地 LSDB 进行 对 比 ， 如 果 发 现 两 者 一 致 ， 则 
忽略 该 CSNP; 如 果 发 现 本 地 LSDB 中 缺少 了 某 条 或 某 些 LSP， 则 癌 该 邻居 发 送 PSNP 
来 请 求 这 些 LSP 的 完整 信息 。 

3. IS-IS 在 NBMA 网 络 中 的 部 署 

细心 的 读者 可 能 已 经 发 现 了 ，IS-IS 并 不 像 OSPF 那样 文 持 NBMA 网 络 类 型 。 在 诸 
如 Frame-Relay 等 环境 中 部 署 IS-IS 时 ， 有 一 些 问题 需要 格外 关注 。 当 IS-IS 在 采用 
Frame-Relay 封 效 的 接口 上 被 激活 时 ， 华 为 路 由 器 缺 省 在 该 接口 上 使 用 P2P 的 网 络 类 型 
(而 且 不 支持 将 该 接口 的 网 络 类 型 修改 为 Broadcast)， 此 时 如 果 路 由 嚣 仅 通过 该 
Frame-Relay 接口 使 用 一 条 PVC 连接 一 台 设 备 ， 如 图 4-12《〈 左 ) 所 示 ， 则 与 对 闪 的 IS-IS 
邻居 关系 可 以 正常 建立 , 但 是 如 果 该 接口 使 用 多 条 PVC 同时 连接 了 多 台 设 备 , 例如 使 用 
Hub&Spoke (中 心 一 分 支 ) 模型 ， 如 图 4-12 〈 右 ) 所 示 ， 那 么 IS-IS 的 邻居 关系 建立 将 
会 出 现 问 题 , 因为 当 接 口 的 网 络 类 型 为 P2P 时 , IS-IS 只 能 通过 该 接口 与 一 台 设 备 建立 邻 
居 关 系 ， 这 样 一 来 ，R1 只 能 在 其 Serial1/0/0 接口 上 与 R2 或 R3 中 的 一 台 设 备 建立 IS-IS 
邻居 关系 ， 而 男 一 台 设 备 则 无 法 正常 建立 邻居 关系 。 当 和 面 对 这 种 场景 时 ， 我 们 需要 在 中 
心 设备 上 使 用 子 接口 (必须 为 P2P 类 型 的 子 接口 ) 接 入 NBMA 网 络 ， 然 后 在 子 接口 中 
激活 IS-IS。 如 图 4-13 所 示 ， 在 R1 上 ， 基 于 Serial1/0/0 接口 创建 两 个 P2P 子 接口 ， 然 后 
R1 分 别 使 用 这 两 个 子 接口 与 R2 及 R3 建立 点 对 点 连接 ， 此 时 Rl 便 可 分 别 通过 这 两 个 
P2P 类 型 的 接口 与 R2 及 R3 顺利 地 建立 IS-IS 邻居 关系 。 


RI RI 













Serial1l/0/0 Serial1/0/0 













pVC 2 和 pV CE 


Frame-Relay : 


~ Frame-Relay 忆 


Serial 1/0/0 Serial 1/0/0 


图 4-12 ”IS-IS 在 Frame-Relay 场景 下 的 部 署 
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Ri 










Serial1/0/0.2 P2P 
10.1.13.1/30 


Seriall/0/0.1 P2P 
10.1.12.1/30 


10.1.12.2/30 
Serial1l/0/0 


10.1.13.2/30 
Serial1/0/0 


图 4-13 在 Rl1 上 部 署 P2P 子 接口 


4.2.8 ”DIS 与 伪 节 点 


当 IS-IS 在 Broadcast 类 型 的 接口 〈 例 如 以 太 网 接口 ) 上 运行 时 ， 它 会 在 该 接口 所 连 
接 的 LAN 中 选举 DIS (Designated Intermediate System， 指 定 中 间 系 统 )。DIS 是 一 个 与 
OSPF 中 的 DR 颇 为 相似 的 概念 , 它 主 要 用 于 在 LAN 中 虚拟 出 一 个 伪 节 点 (Pseudonodes)， 
并 产生 伪 节 点 LSP。 

伪 节 点 并 非 一 台 真 实 的 物理 设备 ， 它 是 DIS 所 产生 的 一 台 虚 拟 设备 。 如 果 IS-IS 没 
有 引入 伪 节 点 概念 , 那么 接 入 同一 个 LAN 中 的 每 台 IS-IS 设备 都 需要 在 其 泛 潜 的 LSP 中 
描述 在 该 LAN 中 与 自己 建立 邻居 关系 的 所 有 其 他 IS-IS 设备 ， 当 这 些 设 备 的 数量 特别 多 
时 ， 每 台 设 备 所 产生 的 LSP 的 体积 势必 较 大 。 而 引入 了 伪 节 点 后 ， 设 备 仅 需 在 其 泛 潜 的 
LSP 中 描述 自己 与 伪 节 点 的 邻居 关系 即 可 ,无 需 再 描述 目 己 与 其 他 非 伪 节点 的 邻居 关系 。 
伪 节 点 LSP 用 于 描述 伪 节 点 与 LAN 中 所 有 设备 (包括 DIS) 的 邻居 关系 ， 从 而 区 域内 
的 其 他 IS-IS 设备 能 够 根据 伪 节 点 LSP 计算 出 该 LAN 内 的 拓扑 。DIS 负责 产生 伪 届 所 
LSP。 从 以 上 描述 大 家 可 以 看 出 , 伪 节 点 LSP 的 功能 与 OSPF 中 的 Type-2 LSA 的 功能 非 
常 相似 。 伪 节点 及 伪 节 点 LSP 的 引入 减 小 了 网 络 中 所 泛 洪 的 LSP 的 体积 ， 另 外 ， 当 拓扑 
发 生变 更 时 ， 网 络 中 需要 泛 洪 的 LSP 数量 也 减少 了 ， 对 设备 造成 的 负担 目 然 也 就 相应 减 
Aj 

为 了 确保 LSDB 的 同步 ，DIS 会 在 LAN 内 周期 性 地 泛 洪 CSNP，LAN 中 的 其 他 设 
备 收 到 该 CSNP 后 ， 会 执行 一 致 性 检查 ， 以 确保 本 地 LSDB 与 DIS 同步 。 





Ez 情况 下 ， 在 Broadcast 网 络 中 ，DIS 周期 性 发 送 CSNP 的 时 间 间 隔 为 10 秒 ， 
可 以 在 DIS 相应 的 接口 上 使 用 isis timer csnp 命令 修改 该 缺 省 值 。 该 命令 有 两 个 可 选 关 
键 字 ， 它 们 分 别 是 level-1 及 level-2， 需 根据 实际 情况 选择 相应 的 关键 字 ， 例 如 如 果 要 将 
接口 的 Level-1 CSNP 的 周期 性 发 送 间隔 修改 为 15 秒 ， 则 可 使 用 isis timer csnp 1S level-l 
命令 。 而 如 果 该 命令 中 并 未 指定 level-1 或 level-2 关键 字 ， 则 所 配置 的 时 间 间 隔 将 对 当 
前 级 别 的 IS-IS 进程 生效 。 
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在 图 4-14 中 , R1、R2、R3 及 R4 连接 在 同一 台 以 太 网 交换 机 上 , 当 网 络 中 部 署 IS-IS 
后 (所 有 路 由 器 部 是 Level-1 设备 ， 而 且 属 于 同一 个 区 域 )， 这 四 人 台 路 由 器 所 构成 的 LAN 
中 就 需要 进行 DIS 的 选举 ， 而 R4 与 R5 之 间 由 于 采用 P2P 链 路 互联 ， 因 此 该 网 段 中 无 
需 选 举 DIS， 也 不 会 存在 伪 节 点 。 


系统 ID 0000.0000.0001 
RI1 








系统 ID 0000.0000.0004 系统 ID 0000.0000.0005 
10.1.45.0/24 


系统 ID 0000.0000.0002 


10.1.1.0/24 


R3 
系统 ID 0000.0000.0003 


图 4-14 R4 的 GE0/0/0 接口 成 为 直 连 网 段 中 的 DIS 


假设 R4 的 GE0/0/0 接口 在 直 连 的 LAN 中 被 选举 为 DIS， 那么 R4 将 在 该 LAN 中 产 
生 一 个 伪 节 点 ,并 且 负 责 生 成 伪 节 点 LSP, 图 4-15 形象 地 展示 了 R1 及 R4 所 产生 的 LSP， 
以 及 R4 作为 DIS 所 产生 的 伪 节 点 LSP。 








Level-l LSP 
IS 邻居 TLV: 伪 节 点 (0000.0000.0004.01)，Cost=10 
IP 内 部 可 达 性 信息 TELV: 10.1.1.0/24，Cost=10 











Level-l LSP 
IS 邻居 TLV: 伪 节 点 (0000.0000.0004.01)，Cost=10 
RS 〈0000.0000.0005.00)，Cost=10 
IP 内 部 可 达 性 信息 TLV: 10.1.1.0/24，Cost=10 
10.1.45.0/24, Cost=10 


P2P 
DIS R4 10.1.45.0/24 RS 





10.1.1.0/24 





Level-1 LSP( 伪 节 点 LSP) 
IS 邻居 TLV: R1，Cost=0 
R2, Cost=0 










R3, Cost=0 
R4， 


图 4-15 伪 节 点 LSP 


首先 查看 一 下 LSDB, 由 于 本 例 中 所 有 的 设备 都 属于 同一 个 区 域 , 因此 大 家 的 LSDB 
一 致 的 。 在 R1 上 执行 display isis lsdb 命令 可 以 看 到 如 下 输出 : 


<R1>display isis lsdb 


Database information for ISIS(1) 
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LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
se a es do a 
0000.0000.0001.00-00* 0x00000003 Ox4fc 623 70 0/0/0 
0000.0000.0002.00-00 0x00000004 Oxl8e5 622 70 0/0/0 
0000.0000.0003.00-00 0x00000004 Ox2ecd 626 70 0/0/0 
0000.0000.0004.00-00 Ox00000005 0xf656 622 97 0/0/0 
0000.0000.0004.01-00 0x00000003 ” Oxff68 624 7997: 0/0/0 
0000.0000.0005.00-00 0x00000004 “0xfda2 608 70 0/0/0 

Total LSP(s): 6 


*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-OQverload 


从 R1 的 LSDB 中 , 大 家 能 看 到 每 台 设 备 所 产生 的 Level-1 LSP。 您 可 能 已 经 发 现 了 ， 
R4 产生 了 两 个 Level-1 LSP， 这 两 个 LSP 的 LSP ID 分 别 为 “0000.0000.0004.00-00” 及 
“0000.0000.0004.01-00”， 其 中 后 者 便 是 R4 作为 DIS 所 产生 的 伪 节 点 LSP。 伪 节点 采用 
DIS 的 系统 ID 以 及 非 0 伪 节 点 ID (0000.0000.0004.01 末尾 的 01) 来 标识 。 对 于 非 伪 节 
点 LSP 而 言 ， 其 LSP ID 中 的 伪 节 点 ID 为 0。 

接 下 来 观察 一 下 Rl 产生 的 LSP 的 详细 信息 : 


<R1>display isis lsdb 0000.0000.0001.00-00 verbose 


Database information for ISIS(1) 


LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000,0000.0001.00-00* 0x00000004 0x2fd 758 70 0/0/0 
SOURCE 0000.0000.0001.00 
NLPID IPV4 


AREA ADDR 49.0001 

INTF ADDR 10.1.1.1 

NBR ID 0000.0000.0004.01 COST: 10 

IP-Internal 10.1.1.0 255.255.255.0 COST: 10 


Total LSP(s): 1 
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-Overload 


从 上 述 输 出 可 以 看 出 ，R1 在 其 所 产生 的 Level-1 LSP 中 描述 了 IS 邻居 0000.0000. 
0004.01 (也 就 是 伪 节 点 )， 和 一 个 区 域内 的 全 网 段 10.1.1.0/24。R2 及 R3 产生 的 Level-1l 
LSP 类 似 。 实 际 上 ， 在 该 LAN 中 ， 每 台 路 由 器 都 与 其 他 所 有 路 由 器 建立 了 IS-IS 邻居 关 
系 ， 但 是 由 于 伪 节 点 的 引入 ，LAN 中 的 路 由 器 都 只 在 自己 产生 的 LSP 中 描述 其 与 伪 节 
点 的 邻居 关系 。 

再 看 一 下 伪 节 点 LSP 的 详细 信息 : 


<Rl>display isis lsdb 0000.0000.0004.01-00 verbose 
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Database information for ISIS(1) 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 


LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0004.01-00 0x00000005 Oxfb6a 1191 7 OO 
ISOURAGCR 0000.0000.0004.01 

NLPID IPV4 

NBR ID 0000.0000.0004.00 “COST': 0 

NBR ID 0000.0000.0002.00 ”COST: 0 

NBR ID 0000.0000.0001.00 COST: 0 

NBR ID 0000.0000.0003.00 COST: 0 


Total LSP(S): 1 
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
ATT-Attached, P-Partition, OQL-Overload 


从 以 上 输出 可 以 看 到 DIS (R4) 产生 了 一 个 Level-1 伪 节 点 LSP， 并 且 在 该 LSP 中 
描述 伪 节 点 与 R1、R2、R3 及 R4 的 邻居 关系 ， 随 着 该 LSP 在 区 域内 的 泛 洪 ， 其 他 设备 
便 能 依据 该 LSP 计算 出 该 LAN 内 的 拓扑 。 

IS-IS 使 用 如 下 顺序 在 一 个 LAN 中 选举 DIS: 

。 接口 DIS 优先 级 最 高 的 设备 成 为 该 LAN 的 DIS。DIS 优先 级 的 值 越 大 , 则 优先 级 
越 高 。 

e。 如 果 DIS 优先 级 相等 ， 则 接口 MAC 地 址 最 大 设备 将 成 为 该 LAN 的 DIS。 





并 “在 华为 路 由 器 上 运行 IS-IS 时 ，Broadcast 类 型 接口 的 缺 省 DIS 优先 级 为 64, 可 以 
在 接口 视图 下 执行 isis dis-priority 命令 修改 接口 的 DIS 优先 级 ，DIS 优先 级 的 取 值 范围 
是 0-127， 如 需 修 改 接口 的 Level-1 DIS 优先 级 ， 则 需 在 该 命令 中 增加 level-1 关键 字 ; 如 
需 修 改 接口 的 Level-2 DIS 优先 级 ， 则 需 使 用 level-2 关键 字 。 例 如 ， 在 接口 视图 下 执行 
isis dis-priority 100 level-1， 则 可 将 接口 的 Level-1 DIS 优先 级 设置 为 100。 如 果 isis 
dis-priority 命令 未 指定 level-1 或 level-2 关键 字 , 则 视 为 同时 配置 Level-1 及 Level-2 DIS 
优先 级 。 值 得 注意 的 是 ， 即 使 设备 的 接口 DIS 优先 级 为 0, 该 设备 依然 会 参与 DIS 竞选 。 


关于 IS-IS 的 DIS， 大 家 还 需要 知道 的 是 : 

。 在 一 个 LAN 中 部 团 OSPF 时 ， 接 入 该 LAN 的 所 有 DROther 路 由 器 都 只 与 DR 及 
BDR 建立 全 上 毗邻 的 邻接 关系 ,而 它们 彼此 之 间 的 邻居 关系 将 保持 在 2-Way 状态 。 而 在 一 
个 LAN 中 部 署 IS-IS 时 ， 接 入 该 LAN 的 所 有 路 由 器 均 与 DIS 以 及 其 他 非 DIS 路 由 噩 建 
立 邻 居 关 系 〈 此 处 均 指 同一 个 Level 的 IS-IS 设备 )。 从 这 个 角度 看 ，IS-IS 的 DIS 设计 其 
实 并 没有 减少 LAN 中 的 邻居 关系 数量 。 

。 在 一 个 LAN 中 ，Level-1 及 Level-2 的 DIS 独立 选举 ， 互 不 干扰 。 完 全 有 可 能 
现 的 一 个 情况 是 ， 在 同一 个 LAN 中 ， 经 选举 后 ，Level-1 DIS 是 接 入 该 LAN 中 的 A 设 
备 ， 而 Level-2 DIS 却 是 接 入 该 LAN 中 的 B 设备 。 

e IS-IS 没有 定义 备份 DIS， 当 DIS 发 生 故 障 时 ， 立 即 启 动 新 的 DIS 选举 过 程 。 
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e DIS 具备 可 抢占 性 , 例如 在 一 个 已 经 选举 出 DIS 的 LAN 中 , 如 果 新 加 入 一 台 DIS 
优先 级 更 高 的 设备 ， 则 该 设备 将 能 抢占 当前 DIS 的 和 角色， 成 为 新 的 DIS 。 


4.2.9 ”邻居 关系 建立 过 程 


IS-IS 在 不 同类 型 的 网 络 中 邻 届 关 系 的 建立 过 程 有 所 不 同 。 下 面 将 分 别 介绍 IS-IS 在 
Broadcast 及 P2P 类 型 的 网 络 中 的 邻居 关系 建立 过 程 。 

1. Broadcast 网 络 中 的 邻居 关系 建立 过 程 

以 图 4-16 中 的 网 络 为 例 , R1 及 R2 通过 和 干 兆 以 太 网 接口 互联 , 这 两 台 直 连 的 Level-1 
路 由 器 在 Broadcast 网 络 中 的 邻居 关系 建立 过 程 如 下 : 


R1 (Level-1 路 由 器 ) R2 (Level-1 路 由 器 ) 
NET 49.0012.0000.0000.0001.00 NET 49.0012.0000.0000.0002.00 









GEO/0/0 _ GE0O/0/0 : 
Broadcast 网 络 类 型 Broadcast 网 络 类 型 


: Level-l LAN IIH 


; 系统 ID: 0000.0000.0001 
: 区 域 地 址 TLV: 49.0012 


Level-l LAN IIH : 
系统 ID: 0000.0000.0002 : 
区 域 地 址 TLV: 49.0012: 
邻居 R2 的 状态 ; IS 邻居 TLV: R1 的 GE0/0/0 接口 MAC 地 址 ; 


: Level-l LAN IIH 

: 系统 ID: 0000.0000.0001 

: 区 域 地 址 TLV: 49.0012 

g # GEO/ : 邻居 R1 的 状态 
A 切换 到 Up 


图 4-16 ”Broadcast 网 络 中 的 Level-l 邻居 关系 建立 过 程 


(1) 假设 R1 率先 在 GE0/0/0 接口 上 激活 了 JIS-IS， 缺 省 时 ， 该 接口 的 网 络 类 型 为 
Broadcast， 由 于 R1 是 Level-1 路 由 器 ， 因 此 和 它 的 GE0/0/0 接口 的 Level 为 Level-1， 它 将 
在 该 接口 上 周期 性 地 发 送 Level-1 LAN IIH， 这 些 PDU 以 组 播 的 形式 发 送 ， 目 的 MAC 
地 址 是 0180-c200-0014， 该 Level-1 LAN IIH 中 记录 了 RI 的 系统 ID (0000.0000.0001)， 
此 外 ， 还 包含 多 个 TLV， 其 中 区 域 地 址 TLV 记录 了 RI1 的 区 域 ID (49.0012 )。 

(2) R2 在 其 GE0/0/0 接口 上 收 到 了 R1 发 送 的 Level-1 LAN IIH， 它 会 针对 PDU 中 
的 相关 内 容 进行 检查 (例如 检查 对 方 与 目 己 是 否 处 于 相同 的 区 域 )， 检 查 通过 后 ，R2 在 
其 IS-IS 邻居 表 中 将 R1 的 状态 设置 为 Initial (初始 化 )， 并 在 自己 从 GE0/0/0 接口 发 送 的 


”Level-1 LAN IIH 中 增加 IS 邻居 TLV， 在 该 TLV 中 写 入 Rl1 的 接口 MAC 地 址 ， 用 于 告 


知 Rl1:“ 我 发 现 你 了”。 

(3) Rl 收 到 该 Level-1 LAN IIH 后 ， 在 其 IS-IS 邻居 表 中 将 R2 的 状态 设置 为 Up， 
然后 在 自己 从 GE0/0/0 接口 发 送 的 Level-1 LAN IIH 中 增加 IS 邻居 TLV, 并 在 该 TLV 中 
写 入 R2 的 接口 MAC 地 址 。 

(4) R2 收 到 该 IH 后 ， 在 其 IS-IS 邻居 表 中 将 R1 的 状态 设置 为 Up。 如 此 一 来 ， 两 
台 路 由 器 的 IS-IS 邻居 关系 就 建立 起 来 了 。 
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邻居 关系 建立 起 来 之 后 ，R1 与 R2 依然 会 周期 性 交互 IH，LSP 的 交互 及 LSDB 同 
步 过 程 也 将 在 邻居 关系 建立 起 来 之 后 进行 。 此 外 ， 在 R1 及 R2 的 邻居 关系 建立 过 程 中 ， 
DIS 也 会 被 选举 产生 。LSDB 完成 同步 后 ，DIS 会 周期 性 地 在 该 Broadcast 网 络 中 泛 潜 
CSNP。 本 例 描 述 的 是 Level-1 邻居 关系 的 建立 过 程 ，Level-2 的 情况 类 似 ， 只 不 过 设备 之 
间 使 用 Level-2 LAN IIH 建立 邻居 关系 ， 并 且 该 PDU 的 目的 MAC 地 址 是 另 一 个 组 播 
MAC: 0180-c200-0015。 

2. P2P 网 络 中 的 邻居 关系 建立 过 程 (两 次 握手 ) 

在 P2P 网 络 中 , IS-IS 邻居 关系 的 建立 过 程 存在 两 种 方式 : 两 次 握手 方式 及 三 次 握手 
方式 。 如 果 采 用 两 次 握手 方式 建立 IS-IS 邻居 关系 ， 那 么 邻居 关系 的 建立 过 程 是 不 存在 
确认 机 制 的 ， 只 要 设备 在 其 接口 上 收 到 P2P IIH， 并 且 对 PDU 中 的 内 容 检 查 通过 后 ， 便 
单方 面 将 该 邻居 的 状态 视 为 Up， 如 图 4-17 所 示 , 这 显然 是 不 可 靠 的， 因为 即使 双方 的 
互联 链 路 存在 单 通 故障 ， 也 依然 会 有 一 方 认 为 邻居 关系 已 经 建立 ， 此 时 网 络 就 必然 会 
出 现 问 题 。 


R3 (Level-1 路 由 器 ) R4 (Level-1 路 由 器 ) 
NET 49.0034.0000.0000.0003.00 NET 49.0034.0000.0000.0004.00 
< Seriall/0/0 Serial1/0/0 G3 

: ”P2P 网 络 类 型 P2P 网 络 类 型 。” : 
: P2PIIH 
系统 ID: 0000.0000.0003 : 

: 区 域 地 址 TLV: 49.0034 : 邻居 R3 的 状态 
: P2P IIH : 
居 R4 的 状态 : 系统 ID: 0000.0000.0004 : 
和 切换 到 Up 区 域 地 址 TLV: 49.0034 : 


图 4-17 P2P 网 络 中 的 邻居 关系 建立 过 程 (两 次 握手 ) 


3. P2P 网 络 中 的 邻居 关系 建立 过 程 (三 次 握手 ) 

在 P2P 网 络 中 , IS-IS 文 持 另 一 种 更 加 可 靠 的 邻居 关系 建立 过 程 , 那 就 是 使 用 三 次 握 
方式 建立 IS-IS 邻居 关系 。 当 设备 的 P2P 接口 启动 三 次 握手 机 制 后 , 设备 将 在 P2PIIH 中 
增加 一 个 特殊 的 TLV 一 P2P 三 向 邻接 TLV (Point-to-Point Three-Way Adjacency TLV), 用 
于 实现 三 次 握手 机 制 。 以 图 4-18 为 例 。 

(1) 假设 R3 率先 在 接口 上 激活 了 IS-IS，R3 的 Serial1/0/0 接口 由 于 采用 了 PPP 封 
装 , 因此 它 将 该 接口 识别 为 P2P 网 络 类 型 , 它 开 始 在 该 接口 上 发 送 P2P IIH。 在 该 IIH 中 ， 
包含 R3 的 系统 ID、 区 域 ID 等 信息 ， 此 外 还 有 一 个 关键 的 TLV， 也 就 是 上 面 提 到 的 P2P 
三 向 邻接 TLV， 由 于 此 时 R3 还 没有 在 该 接口 上 收 到 任何 有 效 的 P2PIIH， 也 没有 发 现任 

可 邻居 ， 因 此 它 将 该 TLV 中 的 邻接 状态 (Adjacency State) 设置 为 Down。 

(2) R4 将 在 其 Serial1/0/0 接口 上 收 到 R3 发 送 的 P2P IIHH， 它 会 针对 该 PDU 中 的 相 
关内 容 进 行 检查 ， 检 查 通 过 后 ，R4 在 其 IS-IS 邻居 表 中 将 邻居 R3 的 状态 设置 为 Initial 
(初始 化 ),， 并 在 自己 从 Serial1/0/0 接口 发 送 的 P2P IIH 的 P2P 三 向 邻接 TLVY 中 , 将 邻 
接 状态 设置 为 Initializing (初始 化 中 )， 并 且 在 该 TLV 的 邻居 系统 ID 字段 中 写 入 R3 的 
系统 ID。 
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(3) R3 收 到 该 P2P IIH 后 ， 发 现在 该 PDU 中 ，P2P 三 向 邻接 TLV 的 邻接 状态 为 
Initializing， 且 邻居 系统 ID 字段 填写 的 正 是 自己 的 系统 ID， 于 是 它 认 为 目 己 与 邻 届 R4 
完成 了 二 次 握手 过 程 。 接 下 来 ， 它 在 自己 发 送 的 P2P IIH 的 P2P 三 回 邻 接 TLV 中 ， 将 邻 
接 状态 设置 为 Up， 然 后 在 该 TLV 的 邻居 系统 ID 字段 中 写 入 R4 的 系统 ID。 

(4) R4 收 到 R3 发 送 的 P2?P IIH 后 ， 在 该 PDU 的 P2P 三 向 邻接 TLV 中 发 现 邻 接 状 
态 为 Up， 并 且 邻 居 系 统 ID 字段 填写 的 是 自己 的 系统 ID， 于 是 它 认 为 自己 与 邻居 R3 完 
成 了 三 次 握手 过 程 ， 便 在 IS-IS 邻居 表 中 ， 将 该 邻居 的 状态 设置 为 Up。 接 下 来 ， 它 在 目 
己 发 送 的 P2P IIH 的 P2P 三 向 邻接 TLV 中 ， 将 邻接 状态 设置 为 Up， 然 后 在 邻居 系统 ID 
字段 中 写 入 R3 的 系统 ID。 

(5) R3 收 到 R4 发 送 的 P2P IIH 后 ， 也 认为 自己 与 对 方 完成 了 三 次 握手 ， 便 在 IS-IS 
邻居 表 中 ， 将 该 邻居 的 状态 设置 为 Up。 到 此 ，R3 与 R4 的 邻居 关系 就 建立 了 起 来 。 

邻居 关系 建立 起 来 后 ， 双 方 开始 交互 LSP， 由 于 R3 及 R4 都 是 Level-l 路 由 器 ， 因 
此 双方 交互 Level-1 LSP。 

在 华为 路 由 器 上 ，IS-IS 在 P2P 类 型 的 接口 上 缺 省 采用 三 次 握手 方式 建立 邻接 关系 ， 
如 需 修 改 为 两 次 握手 方式 ， 可 在 P2P 接口 上 执行 isis ppp-negotiation 2-way 命令 〈 直 连 
链 路 两 端的 接口 上 均 需 配置 该 命令 )。 


R3 (Level-l 路 由 器 ) R4 (Level-1 路 由 器 ) 
NET 49.0034.0000.0000.0003 .00 NET 49.0034.0000.0000.0004.00 
Seriall/0/0 Seriall/0/0 
: ”P2P 网 络 类 型 P2P 网 络 类 型 

. P2PIIH 


: 系统 ID: 0000.0000.0003 
: 区 域 地 址 TLV: 49.0034 
: P2P 三 向 邻接 TLV: 邻接 状态 Down 


P2P IIH : 

系统 ID: 0000.0000.0004 : 

区 域 地 址 TLV: 49.0034 : 

P2P 三 向 邻接 TLV: 邻接 状态 Initializing; 邻居 系统 ID 0000.0000.0003 : 
一 


_P2PIIH 
: 系统 ID: 0000.0000.0003 
; 区 域 地 址 TLV: 49.0034 : 
: P2P 三 向 邻接 TLV: 邻接 状态 Up; 邻居 系统 ID 0000.0000.0004 : 邻居 R3 的 状 
P2P IIH ; 
: 系统 ID: 0000.0000.0004 
: 区 域 地 址 TLV: 49.0034 ; 
邻居 R4 的 状 : P2P 三 向 邻接 TLV: 邻接 状态 Up; 邻居 系统 ID 0000.0000.0003 ; 


图 4-18 ”P2P 网 络 中 的 邻居 关系 建立 过 程 ( 三 次 握手 ) 


4.2.10 ”邻居 关系 建立 须知 


台 直 连 的 IS-IS 路 由 器 建立 邻居 关系 时 ， 必 须 满足 相应 的 要 求 ， 例 如 : 
.建立 IS-IS 令 居 关系 的 两 台 设 备 必须 是 同一 个 Level 的 设备 
和 运行 IS-IS 的 网 络 设备 都 拥有 一 个 全 局 的 级 别 〈Level)， 设 备 的 级 别 可 以 是 
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Level-1、Level-1-2 或 Level-2。 在 网 络 规划 及 部 晋 时 ， 适当 地 为 设备 指定 Level 是 非常 有 
必要 的 。 两 台 直 连 的 IS-IS 设备 ， 如 果 Level 配置 不 当 ， 则 可 能 影响 到 IS-IS 邻居 关系 的 
建立 。 

此 前 已 经 强调 过 ， 只 有 相同 Level 的 直 连 设备 才能 够 建立 IS-IS 邻居 关系 ,具体 要 求 
如 下 : 

e Level-1 路 由 器 只 能 与 相同 区 域 的 Level-1 或 者 Level-1-2 路 由 器 建立 Level-1 邻居 
关系 ; 

e Level-2 路 由 器 可 以 与 Level-2 或 Level-1-2 路 由 器 建立 Level-2 邻居 关系 ;此 时 该 
Level-2 路 由 器 可 以 与 邻居 路 由 器 处 于 相同 的 区 域 ， 也 可 以 处 于 不 同 的 区 域 。 

e Level-l 路 由 器 不 能 与 Level-2 路 由 器 建立 邻居 关系 。 

在 华为 路 由 器 上 运行 IS-IS 时 ， 缺 省 时 设备 的 全 局 Level 为 Level-1-2， 如 需 修 改 设 
备 的 全 局 Level， 可 以 在 其 IS-IS 配置 视图 下 执行 is-level 命令 ， 该 命令 有 三 个 关键 宁可 
供 选择 ， 它 们 分 别 是 : level-1、level-1-2 及 level-2， 请 根据 实际 情况 选择 相应 的 关键 字 。 

2. 两 台 直 连 设 备 如 需 建 立 Level-l 邻居 关系 ， 则 两 者 的 区 域 ID 必须 相同 

一 个 Level-l 区 域 是 由 一 系列 连续 的 Level-l 或 Level-1-2 路 由 器 构成 的 ， 两 台 直 连 
的 Level-1 设备 必须 配置 相同 的 区 域 ID， 才 能 够 正确 地 建立 Level-1 邻居 关系 。 例 如 ， 
如 果 A 设备 的 NET 为 49.0019.1928.a042.0211 ， 而 其 直 连 的 B 设备 的 NET 为 
49.0020.3308.0002.0a0a， 那 么 两 者 是 无 法 建立 Level-1 邻居 关系 的 ， 因 为 它们 的 区 域 ID 
并 不 相同 。 对 于 Level-1 设备 与 Level-1-2 设备 之 间 的 邻居 关系 , 或 者 两 台 Level-1-2 设备 
之 则 的 Level-l 邻居 关系 ， 同 样 需 满 足 上 述 要 求 。 

3， 建 立 IS-IS 邻居 关系 的 两 台 IS-IS 设备 ， 直 连接 口 需 使 用 相同 的 网 络 类 型 

如 果 两 台 IS-IS 设备 的 直 连 接口 中 ， 一 方 为 P2P 类 型 ， 另 一 方 为 Broadcast 类 型 ， 那 
么 它们 之 间 的 邻居 关系 是 无 法 正常 建立 的 。 


4.3 协议 特性 


4.3.1 ”路 由 渗透 


我 们 已 经 知道 , 在 IS-IS 中 Level-1-2 路 由 右 是 连接 Level-1 区 域 与 骨干 网 络 的 桥梁 ， 
它 会 将 到 达 所 在 Level-1 区 域 的 路 由 信息 通过 Level-2 LSP 通告 到 骨干 网 络 ， 从 而 让 其 他 
的 Level-1-2 或 Level-2 路 由 器 学 习 到 相关 路 由 , 然而 缺 省 时 它 却 并 不 将 到 达 其 他 Level-1 
区 域 的 路 由 信息 以 及 到 达 Level-2 区 域 的 路 由 信息 通告 到 本 Level-l 区 域 中 , 这样 虽然 可 
以 侧 化 Level-l 区 域 中 设备 的 路 由 表 ， 从 而 节省 设备 资源 ， 但 是 这 种 特性 在 某 些 场景 下 
却 也 会 带 来 一 些 问题 ， 例 如 次 优 路 径 问 题 等 。 

在 图 4-19 中 ,网络 中 的 设备 已 经 运行 了 IS-IS, 所 有 设备 的 接口 的 IS-IS Cost 值 都 是 
相等 的 。R4 及 R7 都 连接 独 8.8.8.0/24 网 段 ， 并 且 都 将 到 达 该 网 段 的 路 由 发 布 到 了 IS-IS 
中 。 缺 省 时 ，Level-1 路 由 器 R3 是 无 法 学 习 到 8.8.8.0/24 路 由 的 ，R1 及 R2 作为 Level-1-2 
路 由 器 ， 会 在 它们 向 Area 49.0123 下 发 的 Level-1 LSP 中 设置 ATT 比特 位 ， 而 R3 则 根 
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据 该 ATT 比特 位 置 位 的 Level-1 LSP 生成 默认 路 由 。R3 会 根据 自己 到 达 这 两 台 路 由 器 的 
度量 值 来 决定 默认 路 由 的 下 一 跳 ， 由 于 R3 到 达 Rl 及 R2 的 Cost 值 相 等 ， 因 此 R3 产生 
的 默认 路 由 将 在 R1 及 R2 这 两 个 下 一 跳 执 行 等 价 负载 分 担 。 如 此 一 来 ，R3 将 认为 从 Rl 
及 R2 均 可 到 达 区 域外 部 ， 因 此 当 其 转发 到 达 8.8.8.0/24 的 报 文 时 ， 完 全 有 可 能 将 报 文 转 
发 给 R2， 报 文 将 沿 着 R2-R5-R6-R7 这 条 路 径 最 终 到 达 目 的 地 ， 这 就 产生 了 次 优 路 径 问 
题 。 之 所 以 出 现 这 样 的 问题 ， 是 因为 R3 无 法 学 习 到 去 往 8.8.8.0/24 的 路 由 ， 而 且 并 不 知 
晓 从 本 地 到 达 目 的 网 段 的 实际 Cost 值 。 使 用 IS-IS 的 路 由 渗透 功能 可 以 解决 该 问题 。 在 
本 例 中 , 可 以 在 R1 及 R2 上 部 署 路 由 渗透 ,将 Level-2 路 由 8.8.8.0/24 渗透 到 本 地 Level-1 
区 域 ， 使 得 R3 能 够 通过 它们 学 习 到 8.8.8.0/24 路 由 。 
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图 4-19 ”网 络 中 存在 的 次 优 路 径 问 题 


下 面 再 看 看 路 由 渗透 功能 的 男 一 个 应 用 场景 。 在 图 4-20 中 ， 完 成 IS-IS 部 署 后 ，R1 
及 R2 能 够 学 习 到 去 往 Area 49.0045 中 的 X 业务 网 段 的 路 由 ， 然 而 它们 并 不 会 在 自己 向 
Area 49.0123 下 发 的 Level-1 LSP 中 描述 关于 这 些 网 段 的 可 达 性 信息 。R3 通过 产生 指 问 
RI1 及 R2 的 默认 路 由 来 到 达 这 些 网 段 。 
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图 4-20 ”路 由 渗透 


216 HCNP 路 由 交换 学 习 指 南 


现在 ， 该 网 络 要 求实 现 这 样 的 需求 : R3 转发 到 达 10.1.1.0/24、10.1.2.0/24 及 10.1.3.0/24 
这 三 个 X 业 务 网 段 的 报 文 时 ， 将 它们 转发 到 有 1， 而 转发 到 达 其 他 X 业务 网 段 的 报 文 时 ， 
将 其 转发 到 有 2。 由 于 缺 省 时 ，R3 只 能 够 通过 默认 路 由 到 达 X 业务 网 段 ， 因 此 要 实现 上 
述 需 求 ， 就 必须 让 R3 获得 到 达 目 标 网 段 的 具体 路 由 ， 此 时 便 可 以 使 用 IS-IS 的 路 由 渗透 
功能 。 我们 可 以 在 R1 上 部 署 路 由 渗透 功能 , 将 到 达 10.1.1.0/24、10.1.2.0/24 及 10.1.3.0/24 
这 三 个 网 段 的 路 由 渗透 到 Area 49.0123 中 ，R1 通过 同 访 区域 下 发 描述 这 三 条 路 由 的 
Level-1 LSP 来 实现 这 个 目的 。 这 样 一 来 ，R3 便 能 够 基于 这 些 LSP 计算 出 到 达 这 三 个 网 
段 的 路 由 ， 并 且 路 由 的 下 一 跳 为 R1。 现 在 ，R3 转发 去 往 这 三 个 网 段 的 报 文 时 ， 根 据 最 
长 前 级 匹配 原则 ， 便 会 将 报 文 发 往 R1， 而 对 于 目的 IP 地 址 是 X 业务 其 他 网 段 的 报 文 ， 
则 匹配 默认 路 由 进行 转发 ， 此 时 可 以 通过 将 R3 的 GE0/0/0 接口 IS-IS 度量 值 修改 得 比 
GE0/0/1 接口 更 大 ， 使 R3 将 默认 路 由 的 下 一 跳 指 各 R2， 来 实现 上 述 需求 中 的 第 二 条 。 

在 Level-1-2 路 由 需 的 IS-IS 配置 视图 中 ， 执 行 import-route isis level-2 into level-1 
命令 ， 可 以 将 Level-2 区 域 中 的 路 由 信息 渗透 到 本 地 Level-1 区 域 中 。 在 该 命令 中 可 以 增 
加 fter-policy 关键 字 ， 从 而 对 渗透 的 路 由 进行 筛选 或 过 滤 ， 也 可 以 增加 tag 关键 字 ， 从 
而 对 渗透 的 路 由 进行 标记 。 

需要 特别 说 明 的 是 ，Level-1-2 路 由 器 缺 省 时 将 上 日 己 从 Level-1 区 域 中 学 习 到 的 路 由 
信息 全 部 通告 到 Level-2 区 域 ， 实 际 上 在 这 个 过 程 中 ， 我 们 也 能 够 部 署 路 由 渗透 ， 使 得 
Level-1-2 路 由 器 只 将 特定 的 Level-1 区 域 路 由 通告 到 Level-2 区 域 。 在 IS-IS 配置 视图 中 
使 用 import-route isis level-1 into level-2 命令 ， 可 部 署 Level-1 区 域 到 Level-2 区 域 的 路 
由 渗透 。 


4.3.2 ”路 由 汇总 


在 开始 本 小 节 之 前 ， 先 来 回顾 一 下 路 由 汇总 的 概念 。 所 谓 路 由 汇总 就 是 将 一 组 有 规 
律 的 路 由 汇聚 成 一 条 路 由 ， 从 而 达到 减 小 路 由 表 规 模 以 及 优化 设备 资源 利用 率 的 目的 ， 
我 们 把 汇聚 之 前 的 这 组 路 由 称 为 明细 路 由 ， 把 汇聚 之 后 的 路 由 称 为 汇总 路 由 《或 聚合 
路 由 )。 

众所周知 ，RIP 及 OSPF 都 是 文 持 路 由 汇总 的 ， 而 IS-IS 同样 支持 路 由 汇总 ， 作 为 链 
路 状态 路 由 协议 ,IS-IS 的 路 由 汇总 特性 与 OSPF 颇 为 类 似 , 但 是 又 存在 明显 的 差异 .IS-IS 
被 广泛 部 署 在 运营 商 骨 干 网 络 中 ， 这 些 网 络 的 规模 是 非常 庞大 的 ， 因 此 合理 地 规划 网 络 
并 部 署 路 由 汇总 是 非常 有 必要 的 。 与 OSPF 类 似 ，IS-IS 也 不 支持 路 由 自动 汇总 ， 网 络 管 
理 员 需 根 据 实际 需求 在 设备 上 执行 手工 配置 来 实现 路 由 汇总 。 接 下 来 看 看 IS-IS 的 几 种 
路 由 汇总 场景 。 

1. 在 Level-l1 路 由 器 上 部 署 路 由 汇总 

IS-IS 是 一 种 典型 的 链 路 状态 路 由 协议 ， 在 一 个 Level-1 区 域内 ， 每 一 台 IS-IS 路 由 
器 都 会 产生 自己 的 Level-1 LSP; 使 用 这 些 LSP， 路 由 器 能 够 发 现 区 域内 的 网 络 拓扑 ， 从 
而 计算 出 到 达 区 域内 各 个 网 段 的 最 短路 径 。IS-IS 允许 设备 对 其 始 发 的 路 由 执行 汇总 。 

在 图 4-21 中 ，R1、R2 及 R3 属于 相同 的 Level1l 区 域 ， 初 始 时 ，R1 在 其 所 有 接口 
上 都 激活 了 IS-IS， 那 么 R2 及 R3 都 应 该 能 通过 R1 在 区 域内 泛 洪 的 Level-1 LSP 计算 出 
到 达 192.168.1.0/24、192.168.2.0/24 及 192.168.3.0/24 网 段 的 路 由 ， 此 时 为 了 简化 R2 及 
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R3 的 路 由 表 , 可 以 在 R1 上 部 姥 路 由 汇总 , 将 其 发 布 的 这 三 条 路 由 汇总 成 192.168.0.0/22。 
在 Ri 的 IS-IS 配置 视图 下 使 用 summary 192.168.0.0 255.255.252.0 level-1 命令 即 可 实现 
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4-21 在 Rl1 上 部 署 路 由 汇总 
在 Rl 部署 路 由 汇总 之 前 ， 它 所 产生 的 Level-1 LSP 如 下 : 


<R2>display isis lsdb 0000.0000.0001.00-00 verbose 


Database information for ISIS(1) 


LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0001.00-00 0x0000000b 0xl86d 1188 118 0/0/0 
SOURCE ”0000.0000.0001.00 
NLPID “PV4 


AREAADDR 49.0123 
INTFADDR 192.168.1.1 
INTF ADDR 192.168.2.1 
INTF ADDR 192.168.3.1 
INTF ADDR 10.1.12.1 


_NBR DD 0000.0000.0002.01 COST: 10 
IP-Internal 10.1.12.0 255.255.255.0 COST: 10 
IP-Internal 192.168.1.0 255.255.255.0 COST: 10 
IP-Internal 192.168.2.0 255.255.255.0 COST: 10 
IP-Internal 192.168.3.0 255.255.255.0 COST: 10 


Total LSP(s): 1 
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-Overload 


从 以 上 输出 可 以 看 出 ，R1 所 产生 的 Level-1 LSP 中 ,包含 三 个 卫 内 部 可 达 性 信息 
TLY， 这 三 个 TLV 分 别 描述 关于 目的 网 段 192.168.1.0/24、192.168.2.0/24 以 及 192.168. 
3.0/24 的 可 达 性 信息 。 

R1 部 普 了 路 由 汇总 后 ， 它 不 再 在 其 产生 的 Level-1 LSP 中 摘 述 到 达 这 三 个 网 段 的 路 
由 明细 ， 而 是 摘 述 一 条 汇总 路 由 : 


<R2>display isis lsdb 0000.0000.0001.00-00 verbose 


Database information for ISIS(1) 


Level-l1 Link State Database 
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LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0001.00-00 0x0000000c Oxcdaa 1087 94 0/0/0 
SOURCE 0000.0000.0001.00 

NLPID IPV4 


AREA ADDR 49.0123 
INTF ADDR 192.168.,1.1 
INTF ADDR. 192.168.2.1 
INTF ADDR 192.168.3.1 
INTF ADDR 10.1.12.1 


NBR HY me 0000.0000.0002.01 COST: 10 
IP-Internal 10.1.12.0 259.255.255,0 COST: 10 


IP-Internal 192.168.0.0 255.255.252.0 COST: 0 


Total LSP(s): 1 
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP., +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-Overload 


如 此 一 来 ，R2 及 R3 便 能 根据 该 LSP 计算 出 汇总 路 由 192.168.0.0/22， 而 不 会 计算 
出 三 条 明细 路 由 ， 它 们 的 路 由 表 和 LSDB 都 得 到 了 人 简化。 

值得 注意 的 是 ,如 果 不 是 在 R1, 而 是 在 R2 上 执行 summary 192.168.0.0 255.255.252.0 
level-1 命令 试图 对 Rl 发 布 的 这 三 条 路 由 进行 汇总 ， 是 不 可 行 的 ， 因 为 此 时 RI 已 经 将 
Level-1 LSP 发 送 了 出 来 ，R2 无 权 对 其 他 设备 所 产生 的 LSP 进行 修改 。 

2. 在 Level-1-2 路 由 器 上 执行 路 由 汇总 

在 图 4-22 中 ，R2 是 一 台 Level-1-2 路 由 器 ， 它 在 Area 49.0012 中 收 到 了 Rl 所 产生 
的 Level-1 LSP， 并 发 现 了 其 通告 的 192.168.1.0/24、192.168.2.0/24 及 192.168.3.0/24 路 由 ， 
接 下 来 , R2 会 将 这 些 路 由 通告 到 骨干 网 络 。R2 会 向 处 于 Area 49.0003 的 R3 发 送 Level-2 
LSP， 并 在 该 LSP 中 描述 到 达 上 述 三 个 目的 网 段 的 可 达 性 信息 。R3 收 到 该 LSP 后 ， 即 
可 计算 出 相关 的 明细 路 由 。 
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图 4-22 在 R2 上 对 其 发 布 的 Level-2 路 由 部 车 路 由 汇总 


此 时 可 以 在 R2 上 部 署 路 由 汇总 ， 将 其 通告 给 R3 的 Level-2 路 由 192.168.1.0/24、 
192.168.2.0/24 和 192.168.3.0/24 汇总 成 192.168.0.0/22。 在 R2 的 IS-IS 配置 视图 下 执行 
summary 192.168.0.0 255.255.252.0 level-2 命令 即 可 实现 该 需求 。 完 成 上 述 配置 后 ，R2 
只 会 在 其 发 送 给 R3 的 Devel-2 LSP 中 描述 汇总 路 由 192.168.0.0/22， 而 不 再 描述 那 三 条 
明细 路 由 。 






”WT 在 以 上 场景 中 ， 假设 Area 49.0003 中 还 有 其 他 Level-2 路 由 器 ， 例 如 R4 (图 中 并 
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未 和 画 出 )， 此 时 如 果 R2 并 不 执行 路 由 汇总 ， 那 么 我 们 是 无 法 在 R3 上 针对 这 三 条 明细 路 
由 部 署 路 由 汇总 从 而 简化 R4 的 路 由 表 的 ， 因 为 R4 是 根据 R2 所 产生 的 Level-2 LSP 计 
算得 出 的 路 由 ， 而 R3 无 权 对 其 他 设备 所 产生 的 LSP 进行 修改 。 


在 Level-1-2 路 由 右上 执行 路 由 汇总 的 男 一 种 场景 是 在 该 路 由 右 部 音 了 路 由 渗 焉 后 ， 
对 渗透 到 Level-1 区 域 的 路 由 进行 汇总 。 如 图 4-23 所 示 ，R2 将 R3 所 通告 的 Level-2 路 
由 172.16.1.0/24、172.16.2.0/24 及 172.16.3.0/24 渗透 到 了 Area 49.0012 中 ， 此 时 可 在 R2 
的 IS-IS 配置 视图 下 使 用 summary 172.16.0.0 255.255.252.0 level-1 命令 执行 路 由 汇总 ， 
将 上 述 三 条 路 由 汇总 成 172.16.0.0/22。 
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图 4-23 在 R2 上 对 其 渗透 的 Level-1 路 由 部 署 路 由 汇总 


3. 在 Level-2 路 由 器 上 执行 路 由 汇总 
在 图 4-24 中 ，R1 为 Level-2 路 由 器 ， 它 将 所 有 接口 全 部 激活 了 IS-IS， 在 初始 时 ， 
会 在 其 产生 的 Level-2 LSP 中 描述 到 达 192.168.1.0/24、192.168.2.0/24 及 192.168.3.0/24 
的 路 由 。R2 及 R3 都 会 学 习 到 这 三 条 路 由 。 我 们 可 以 通过 在 R1 上 将 其 通告 的 这 些 Level-2 
路 由 汇总 成 192.168.0.0/22， 从 而 简化 R2 及 R3 的 路 由 表 。 
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图 4-24 在 Level-2 路 由 器 上 执行 路 由 汇总 


在 Rl 的 IS-IS 配置 视图 下 使 用 summary 192.168.0.0 255.255.252.0 level-2 即 可 实现 
这 个 需求 。 完 成 上 述 配 置 后 ，R1 产生 的 Level-2 LSP 不 再 描述 这 三 条 路 由 明细 ， 而 是 描 
述 汇总 路 由 ， 因 此 R2 及 R3 能 够 根据 该 LSP 计算 出 汇总 路 由 。 

值得 一 提 的 是 , 由 于 R1 所 产生 的 Level-2 LSP 将 在 整个 IS-IS 域 的 骨干 网 络 中 泛 洪 ， 
因此 R2 及 R3 都 会 收 到 该 LSP， 此 时 如 果 R1 并 不 执行 路 由 汇总 操作 ， 而 R2 试图 对 前 
者 所 通告 的 上 述 三 条 Level-2 路 由 进行 汇总 , 这 个 操作 是 不 会 生效 的 , 因为 相应 的 Level-2 
LSP 并 非 R2 始 发 。 


4.3.3 Silent-Interface 
IS-IS 支持 Silent-Interface (静默 接口 ) 特性 ， 当 一 人 台 设 备 的 接口 激活 IS-IS 后 ， 该 接 
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口 将 会 周期 性 地 发 送 IH PDU， 在 某 些 场景 下 ， 我 们 可 能 只 是 希望 将 该 接口 的 网 段 发 布 
到 IS-IS， 而 无 需 在 这 个 接口 上 建立 IS-IS 邻居 关系 ， 那 么 就 可 以 使 用 Silent-Interface 特 
性 ， 来 优化 IS-IS 配置 。 

在 图 4-25 中 ，IS-IS 路 由 器 R1 下 联 了 一 人 台 二 
层 交 换 机 SW， 同 时 还 连接 到 一 个 IS-IS 网 络 。SW 
除了 连接 R1 之 外 ， 还 连接 着 许多 PC。 现 在 为 了 
让 IS-IS 网 络 获知 到 达 R1 的 GE0/0/0 接口 所 在 网 
段 的 路 由 ， 就 需要 在 该 接口 上 激活 IS-IS， 这 个 操 
作 一 旦 完成 ，R1 将 在 该 接口 上 周期 性 地 发 送 IIH 
PDU， 然 而 这 个 接口 所 接 入 的 网 段 中 并 不 存在 其 
他 的 IS-IS 设备 ， 因 此 R1 在 该 接口 上 发 送 的 IIH 
PDU 实际 上 是 没有 意义 的 ， 这 些 报 文 不 仅 浪费 了 
网 络 带 宽 , 而 且 还 会 对 SW 所 连接 的 PC 造成 额外 < 
的 负担 。 男 一 方面 ， 如 果 此 时 有 一 台 非 法 IS-IS 设 图 4-25 Silent-Interface 
备 接 入 了 SW, 那么 就 有 可 能 通过 配置 与 R1 形成 邻居 关系 ,从 而 对 IS-IS 网 络 造成 威胁 。 

将 R1 的 GE0/0/0 接口 配置 为 Silent-Interface 即 可 解决 上 述 问题 , 当 该 接口 被 配置 为 
Silent-Interface 后 ， 它 将 不 会 再 发 送 及 接收 IS-IS 报 文 ， 但 是 这 个 接口 的 路 由 则 依然 会 被 
发 布 到 IS-IS， 因 此 IS-IS 网 络 中 的 设备 还 是 能 够 获知 到 达 该 接口 所 在 网 段 的 路 由 的 。 在 
设备 的 接口 视图 下 ， 使 用 isis silent 命令 即 可 将 该 接口 配置 为 Silent-Interface。 

例如 ， 在 Rl 上 可 进行 如 下 配置 : 

[Rllinterface GigabitEthernet 0/0/0 


[R1-GigabitEthernet0/0/0]isis enable 
[R1-GigabitEthernet0/0/0]isis silent 





4.4 配置 及 实现 


4.4.1 案例 1: 1S-IS 基础 配置 


在 图 4-26 中 ，R1、R2 及 R3 属于 Area 49.0123， 其 中 R3 是 Level-l 路 由 器 ， 而 RI1 
及 R2 都 是 Level-1-2 路 由 器 ， 另 外 ，R4 及 RS 属于 Area 49.0045， 并 且 两 者 都 是 Level-2 
路 由 器 。 所 有 路 由 器 的 系统 ID 都 采用 0000.0000.000X 格式 ， 其 中 X 为 设备 编号 ， 以 R3 
为 例 ， 其 系统 ID 为 0000.0000.0003。 下 面 了 解 一 下 IS-IS 的 基础 配置 。 

R3 的 配置 如 下 : 

[R3jisis 1 

[R3-isis-1]network-entity 49.0123.0000.0000.0003.00 

[R3-isis-1]is-level level-1 

[R3-isis-1]quit 


[R3]interface GigabitEthernet 0/0/0 
 [R3-GigabitEthernet0/0/0]isis enable 1 
[R3-GigabitEthermet0/0/0]quit 
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[R3]interface GigabitEthernet 0/0/1 
[R3-GigabitEthernet0/0/1 lisis enable 1 


让 全 入 痊 从 从 生 人 0 用 居 从 信 全 用 用 估 用 省 从 用 从 全 各 二 六 病因 及 大 六 入 作用 尖 入 天 寂 办 入 和 太 估 开光 
. 


{ Area 49.0123 


GEO/0O/0 
10.1.13.3/24 


I Level-1 路 由 辟 
: GEO/O/1 
10.1.23.3/24 


. 
和 


EIT 


Level-1-2 路 由 器 


GEO/0/0 ZT 
10.1.13.1/24 






GEO/O/ 六 Area49.0045 
10.1.44.1/24 














RS 
GE0/0/2 Level-2 路 由 器 
10.1.45 .4/24 





GEO/0/0 
R4 10.1.43.3/24 


Level-2 路 由 器 


GEO/0/] 
5.5.5.5/24 : 














GEO/D/I 
10.1.34 .21/24 


GEO/0/0 
10.1.23.2/24 


+ 
3 


和 
WEE TE EE 


R2 : 
Level-1-2 路 由 锋 Bp 


- 
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4-26 ”IS-IS 基础 配置 


R1 的 关键 配置 如 下 : 


[Rljisis 1 


[R1-isis-1]network-entity 49.0123.0000.0000.0001.00 
[Rl1-isis-l1 lis-level level-1-2 


[R1-isis-1]quit 


[Rljinterface GigabitEthernet 0/0/0 
[R1-GigabitEthermet0/0/0]isis enable 1 
[R1-GigabitEthernet0/0/0]quit 
[Rl]interface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]isis enable 1 


R2 的 关键 配置 如 下 : 


[R2jisis 1 


[R2-isis-1]network-entity 49.0123.0000.0000.0002.00 
[R2-isis-TJis-level level-1-2 


[R2-isis-1]quit 


[R2jinterface GigabitEthernet 0/0/0 
[R2-GigabitEthernet0/0/0]isis enable 1 
[R2-GigabitEthernet0/0/0jquit 
[R2]interface GigabitEthernet 0/0/] 
[R2-GigabitEthernet0/0/] Jisis enable 1 


R4 的 关键 配置 如 下 : 


[R4jisis 1 


[R4-isis-1jnetwork-entity 49.0045.0000.0000.0004.00 
[R4-1isis-1l]is-level level-2 


[R4-isis-1]quit 


[R4]interface GigabitEthernet 0/0/0 
[R4-GigabitEthernet0/0/0lisis enable 1 
[R4-GigabitEthernet0/0/0]quit 
[R4linterface GigabitEthernet 0/0/1 
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[R4-GigabitEthernet0/0/1]isis enable 1 
[R4-GigabitEthernet0/0/1]quit 

[R4]interface GigabitEthernet 0/0/2 
[R4-GigabitEthernet0/0/2]isis enable 1 

Rs 的 关键 配置 如 下 : 

[RSlisis 1 

[RS-isis-l Inetwork-entity 49.0045.0000.0000.0005.00 
[RS-isis-1 lis-level level-2 

[RsS-isis-1]quit 


[Rsjinterface GigabitEthernet 0/0/0 
[R5-GigabitEthernet0/0/0]isis enable 1 ~ 
[RS]interface GigabitEthernet 0/0/1 
[R5-GigabitEthernet0/0/1 1]isis enable I 


在 华为 路 由 天上 配置 IS-IS 并 不 复 洒 , 首先 需 在 设备 的 系统 视图 下 使 用 isis 命 


一 个 IS-IS 进程 ， 并 进入 该 进程 的 配置 视图 。 
entity 命令 指定 


交换 学 习 指 南 


令 创 建 
创建 并 进入 IS-IS 进程 后 ， 需 使 用 network- 


该 设备 的 NET。 男 外 is-level 命令 用 于 指定 该 设备 的 全 局 Level (Level-1、 


Level-1-2 或 Level-2)。 在 完成 IS-IS 进程 的 创建 及 配置 后 ， 需 要 在 设备 的 接口 上 使 用 isis 
enable 命令 激活 IS-IS 并 指定 关联 的 IS-IS Process-ID。 


完成 配置 后 ， 可 使 用 命令 display isis peer 查看 邻居 关系 的 建立 情况 


<R3>display isis peer 


见 ， 以 R3 为 例 ; 


Peer information for ISIS(1) 


System Id Interface Circuit Id State HoldTime Type PRI 
0000.0000.0001 GE0/0/0 0000.0000.0001.01 -Up 8S Ll 64 
0000,0000.0002 GEO0/0/1 0000.0000.0003.02 Up 24s 由 64 


使 用 display isis lsdb 命令 可 查看 设备 的 


<R3>display isis lsdb 


IS-IS LSDB， 以 R3 为 例 : 


Database information for ISIS(1) 


GG 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


LSPID Seq Num Checksum 
0000.0000.0001.00-00 ”0x00000009 0x7a6f 
0000.0000.0001.01-00 0x00000004 Oxcdb9 
0000.0000.0002.00-00 ”0x00000009 0x3f7c 
0000.0000.0003.00-00* 0x00000008 0xac94 
0000.0000.0003.02-00* ”0x00000004 Oxbaca 


Total LSP(s): 5 


Holdtime Length ATT/P/OL 
916 86 1/0/0 
916 $6 0/0/0 
884 86 1/0/0 
633 97 0/0/0 
633 55 0/0/0 


*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 


ATT-Attached, P-Partition, OL-Overload 


接 下 来 看 一 下 R3 的 路 由 表 中 的 IS-IS 路 由 信息 : 


<R3>display ip routing-table protocol isis 
Route Flags: R - relay, D - download to fib 


ee ess eee ee ee ee ee es es ee ee 
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Public routing table : ISIS 
Destinations : 3 Routes : 4 


ISIS routing table status : <Active> 


Destinations : 3 Routes : 4 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 ISIS-L1 .15 10 D 10.1013,1 GigabitEthemet0/0/0 
ISIS-L1 ‘15, 10 D 10.1.23.2 GigabitEthermmet0/0/1 
10.1.14.0/24 ISIS-L1 15 20 D 10.1.13.1 “，， GigabitEthernetO/0/0 
10.1.24.0/24 ISIS-L1 15 20 D 10.1.23.2 GigabitEthernet0/0/1 


SI routine table Eee = 
Destinations : 0 Routes:0 
R3 通过 IS-IS 学 习 到 了 10.1.14.0/24 及 10.1.24.0/24 路 由 ， 但 是 在 缺 省 时 ， 它 无 法 学 
习 到 去 往 Area 49.0123 之 外 的 路 由 ， 例 如 去 往 10.1.45.0/24 及 5.5.5.0/24 的 路 由 ， 这 是 因 
为 本 区 域 的 Level-1-2 路 由 器 R1 及 R2 缺 省 时 并 不 同 该 区 域 下 发 摘 述 到 达 区 域外 部 的 路 
由 的 LSP， 取 而 代 之 的 是 在 其 泛 洪 的 LSP 中 将 ATT 比特 位 置 位 ， 从 而 使 该 区 域内 的 路 
由 器 自动 根据 该 比特 位 产生 一 条 指向 它们 的 默认 路 由 ， 因 此 我 们 可 以 在 R3 的 路 由 表 中 
看 到 两 条 默认 路 由 ， 下 一 跳 分 别 为 R1 及 R2。 
当然 ， 在 本 例 中 ，R1 及 R2 是 能 够 学 习 到 完整 的 路 由 信息 的 ， 以 R1 为 例 : - 
<R1>display ip routing-table protocol isis 
Route Flags: R- relay, D - download to fib 
Public routing table : ISIS 
Destinations : 4 Routes :4 


ISIS routing table status : <Active> 


Destinations ; 4 Routes :4 
Destination/Mask Proto Pre Cost Flags € NextHop Interface 
5.5.5:0124 1SIS-L2 15 30 DD 10.1.14:4 GigabitEthernetO/O/l 
10.1.23.0/24 ISISLI1~15 20 DD 10.1.13.3 GigabitEthernet0/0/0 
10.1.24.0/24 ISIS-L1 15 30  D 10.1.13.3 GigabitEthernet0/0/0 
10.1.45.0/24 ISIS-L2 15 20 DD 10.1.14.4 GigabitEthernetO/0/1 


ISIS routing table status : <Inactive> 
Destinations : 0 Routes ;0 


4.4.2 ”案例 2: 1S-IS 路 由 渗透 


在 图 4-26 中 ， 缺 省 时 R3 是 无 法 通过 IS-IS 学 习 到 5.5.5.0/24 路 由 的 ， 因 为 Level-1-2 
路 由 器 R1 及 R2 并 不 会 在 它们 向 Area 49.0123 下 发 的 Level-1 LSP 中 描述 关于 该 网 段 的 
可 达 性 信息 ， 即 便 如 此 ， 此 刻 R3 也 是 能 够 访问 5.5.5.0/24 的 ， 当 其 转发 到 达 该 网 段 的 报 
文 时 ， 将 使 用 路 由 表 中 的 IS-IS 默认 路 由 。 

接 下 来 ， 我 们 将 在 R1 上 部 署 路 由 渗透 ， 让 它 将 Level-2 路 由 渗透 到 Level-1 区 域 ， 
从 而 使 得 Level-1 区 域 中 的 R3 能 够 学 习 到 5.5.5.0/24 路 由 ， 并 通过 R1 到 达 该 目的 网 段 。 
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[R1lisis 1 

[Rl1-isis-] Jimport-route isis level-2 into level-1 

在 IS-IS 视图 下 执行 的 import-route isis level-2 into level-1 命令 用 于 配置 Level-2 到 
Level-1 的 路 由 渗透 。 在 R1 上 完成 上 述 配 置 后 ，R1 便 会 将 Level-2 路 由 引入 Level-1 
区 域 。 

此 时 R3 的 路 由 表 中 的 IS-IS 路 由 信息 如 下 : 

<R3>display ip routing-table protocol isis 

Route Flags: R - relay, D - download to fib 


Destinations : 5 Routes : 6 


ISIS routing table status ; <Active> 


Destinations : 5 Routes :6 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 ISIS-L1 15 10 D 10.1.23:2 GigabitEthermet0/0/1 
, ISIS-L1 15 -10 D 10.1.13.1 GigabitEthernet0/0/0 
5.5.5.0/24 ISIS-L1 15 40 D 10.1.13.1 GigabitEthernet0/0/0 
10.1.14.0/24 ISIS-L1 15 20 D 10.1.13.] GigabitEthernet0/0/0 
10.1.24.0/24 ISIS-L1 -15 20 D 10.1.23.2 GigabitEthernet0/0/1 
10.1.45.0/24 ISIS-L1 15 30 D 10.1.13.1 GigabitEthernet0/0/0 


ISIS routing table status ; <Inactive> 
Destinations : 0 Routes :0 
R3 已 经 学 习 到 了 5.5.5.0/24 及 10.1.45.0/24 路 由 ， 并 且 路 由 的 下 一 跳 都 为 R1。 
此 时 如 果 我 们 只 希望 Rl 将 5.5.5.0/24 路 由 引入 Level-1 区 域 ， 那 么 可 以 采用 如 下 配置 ; 
[RIiJjip ip-prefix 1 permit 5.5.5.0 24 4 


[Rljisis 1 
[Rl-isis-1limport-route isis level-2 into level-l filter-policy ip-prefix 1 


在 以 上 配置 中 , import-route isis level-2 into level-1 命令 关联 了 fllter-policy 关键 字 ， 
并 且 该 关键 字 调 用 了 一 个 IP 前 级 列表 ， 这 使 得 R1 只 将 IP 前 级 列表 所 允许 的 路 由 
(5.5.5.0/24) 渗透 到 Level-1 区 域 ， 而 其 他 未 被 允许 的 路 由 则 不 会 被 渗透 到 Level-1 区 域 。 





ITp 前 级 列表 是 一 个 重要 的 路 由 策略 工具 ,用 于 匹配 特定 的 路 由 ,以 便 执 行路 由 策 
略 。 本 书 “ 路 由 策略 与 PBR” 一 章 将 详细 介绍 IP 前 缓 列表 。 


4.4.3 ”案例 3: 1S-IS 默认 路 由 


在 IS-IS 中 ， 主 要 通过 以 下 3 种 方式 来 控制 默认 路 由 的 生成 及 发 布 。 

1. 在 Level-1-2 设备 上 ， 控 制 其 产生 的 LSP 中 ATT 比特 位 的 设置 情况 

众所周知 ， 属 于 某 个 Level-1 区 域 的 Level-1-2 路 由 器 如 果 与 骨干 网 络 存在 连接 ， 那 
么 它 会 在 自己 向 该 Level-1 区 域 下 发 的 Level-1 LSP 中 将 ATT 比特 位 设置 为 1, 区 域内 的 
Level-1 路 由 器 将 目 动 根据 该 LSP 生成 默认 路 由 。 

我 们 可 以 在 Level-1-2 设备 上 ， 通 过 特定 命令 控制 其 产生 的 LSP 中 ATT 比特 位 的 置 
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位 情况 。 

缺 省 时 ， 当 Level-l 区 域内 的 Level-1-2 路 由 器 与 IS-IS 骨干 的 连接 断 开 时 《例如 该 
Level-1-2 路 由 需 的 所 有 Level-2 邻居 关系 全 部 失效 )， 该 Level-1-2 路 由 器 将 立即 修改 它 
的 操作 ， 将 其 产生 的 Level-1 LSP 中 的 ATT 比特 位 设置 为 0， 此 时 ， 区 域内 的 Level-1 路 
由 器 将 不 会 再 目 动 根据 该 LSP 生成 默认 路 由 。 

在 Level-1-2 路 由 禹 的 IS-IS 配置 视图 下 ， 如 果 执 行 attached-bit advertise always 命 
令 , 则 该 Level-1-2 路 由 器 无 论 是 否 连接 到 IS-IS 骨干 网 络 , 都 始终 在 其 产生 的 Level-1 LSP 
中 将 ATT 比特 位 设置 为 1。 相反 ， 如 果 配 置 attached-bit advertise never 命令 ， 则 该 路 
由 器 无 论 如 何 都 将 其 产生 的 Level-1 LSP 中 的 ATT 比特 位 设置 为 0。 

2. 在 Level-] 设备 上 ， 通 过 配置 使 其 即使 收 到 了 ATT 比特 位 置 位 的 Level-1 LSP 也 
不 会 自动 生成 默认 路 由 

缺 省 时 ， 当 Level-l 路 由 器 在 区 域 中 收 到 Level-1-2 路 由 器 所 产生 的 Level-1 LSP, 并 
发 现 该 LSP 中 ATT 比特 位 被 设置 为 1 时 ， 该 Level-l 路 由 器 会 自动 生成 一 条 指 问 这 台 
Level-1-2 路 由 器 的 默认 路 由 。 如 果 在 Level-1 路 由 器 的 IS-IS 配置 视图 下 执行 attached-bit 
avoid-learning 命令 ， 则 即使 收 到 了 ATT 比特 位 为 1 的 Level-1 LSP， 该 Level-1 设备 也 
不 会 生成 默认 路 由 。 

3. 在 IS-IS 中 发 布 默 认 路 由 

华为 路 由 器 提供 了 default-route-advertise 命令 ， 用 于 在 IS-IS 中 发 布 默认 路 由 。 在 
图 4-27 中 ，R1 连接 着 一 个 外 部 网 络 ， 它 是 整个 IS-IS 域 的 出 口 设 备 ， 现 在 为 了 使 得 整个 
IS-IS 域 中 的 设备 都 能 访问 该 外 部 网 络 ， 可 以 通过 R1 回 IS-IS 发 布 一 条 默认 路 由 ， 使 得 
R2、R3 及 R4 都 能 通过 IS-IS 学 习 到 该 默认 路 由 ， 从 而 能 够 将 发 往外 部 网 络 的 流量 转发 
给 Rl。 

[Rljisis 1 

[R1l-isis-1]default-route-advertise level-2 cost 10 





Area 49.1234 


i RR2 R3 R4 | 
: Level-2 路 由 器 Level-2 路 由 器 Level-2 路 由 器 ; 


. 四 
EEE 


图 4-27 在 IS-IS 中 发 布 Level-2 默认 路 由 
上 面 的 命令 将 使 Rl 在 IS-IS 发 布 一 条 Level-2 的 默认 路 由 (如 果 不 指 定 路 由 级 别 ， 
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则 缺 省 为 Level-2; 如 果 和 希望 发 布 Level-l 默认 路 由 ， 则 使 用 level-1 关键 字 )， 并 且 该 路 
由 的 Cost 为 10。 完 成 上 述 操作 后 ，R1 将 产生 一 个 Level-2 LSP 用 于 描述 这 条 默认 路 由 : 


<R1>display isis lsdb verbose 


Database information for ISIS(1) 
Level-2 Link State Database 
LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0001.00-00* OQx00000005 0xeae6 1088 124 0/0/0 
SOURCE 0000.0000.0001.00 


NLPID IPV4 

AREA ADDR 49.1234 
INTF ADDR O12.1 
INTF ADDR 10.1.13.1 
INTF ADDR 10.1.14.1 


NBR ID 0000.0000.0002.01 COST: 10 

NBR ID 0000.0000.0004.01 COST: 10 Tr el 
NBR ID 0000.0000.0003.01 COST: 10 

IP-Internal 10.1.12.0 255.255.255.0 COST: 10 

IP-Internal 10.1.13.0 255.255.255.0 COST: 10 

IP-Internal 10.1.14.0 255.255.255.0 COST:10 

0000.0000.0001.00-01* 0x00000002 0x4799 1185 41 0/0/0 
SOURCE 0000.0000.0001.00 ; 
IP-Internal 0.0.0.0 0.0.0.0 COST: 10 


he 


R2、R3 及 R4 收 到 该 LSP 后 ， 便 可 计算 出 指 癌 RI1 的 默认 路 由 。 

值得 一 提 的 是 ， 当 我 们 在 R1 上 执行 default-route-advertise level-2 cost 10 命令 后 ， 
系统 会 自动 在 该 命令 中 增加 always 关键 字 ， 此 时 R1 将 无 条 件 地 加 IS-IS 发 布 默认 路 由 ， 
无 论 其 自己 的 路 由 表 中 是 否 存在 默认 路 由 《例如 静态 默认 路 由 等 )， 而 如 果 将 R1 的 配置 

[Rllisis 1 

[R1-isis-l]default-route-advertise match default level-2 cost 10 


则 只 有 当 R1 的 路 由 表 中 存在 非 IS-IS 的 默认 路 由 例如 静态 默认 路 由 ， 或 者 通过 
RIP、OSPF、BGP 等 动态 路 由 协议 学 习 到 的 动态 默认 路 由 )， 或 者 从 其 他 IS-IS 进程 学 习 
到 的 默认 路 由 ，R1 才 会 同 该 IS-IS 发 布 默 认 路 由 。 

另外 ，default-route-advertise 命令 还 文 持 关 联 route-policy 关键 字 ， 可 使 用 该 天 键 
字 调 用 一 个 定义 好 的 Route-Policy， 并 在 该 Route-Policy 中 匹配 相应 的 路 由 ， 执 行 该 操作 
后 ，IS-IS 路 由 器 仅 当 其 路 由 表 中 存在 Route-Policy 所 允许 的 路 由 条 目 时 ， 才 会 同 IS-IS 





证 Route-Policy 是 一 个 重要 的 路 由 策略 工具 。 本 书 “ 路 由 策略 与 PBR 一 章 将 详细 
介绍 Route-Policy。 


第 4 章 1S-IS 227 


4.4.4 ”案例 4: 1S-IS 接口 认证 


IS-IS 支持 的 认证 方式 有 三 种 ， 它 们 分 别 > ” 
是 接口 认证 、 区 域 认 证 和 域 认 证 ， 本 节 讨 论 | 
的 是 接口 认证 。 缺 省 时 ，IS-IS 设备 发 送 的 IIH 
PDU 是 不 携带 任何 认证 信息 的 ， 当 它们 在 接 
口上 收 到 IIH PDU 时 ， 也 只 会 针对 报 文 的 载 
傈 进行 相应 的 检查 。 在 图 4-28 中 ，IS-IS 路 由 
器 R1 及 R2 连接 在 同一 人 台 二 层 交 换 机 上 ， 它 
们 之 间 建 立 了 IS-IS 邻居 关系 。 此 时 如 果 一 个 
攻击 者 也 接 入 到 了 交换 机 SW 上 ， 并 且 在 其 
接口 上 激活 IS-IS， 那 么 它 便 有 可 能 与 R1、 
R2 建立 IS-IS 邻居 关系 ， 从 而 对 网 络 造 成 威 ” “P29 
胁 。 我 们 可 以 通过 在 R1 及 R2 的 接口 上 激活 





IS-IS 网 络 


IS-IS 认证 ， 从 而 提高 IS-IS 的 安全 性 。 Rz (IS-IS 路 由 器) 攻击 者 
R1 的 配置 如 下 : 图 4-28 IS-IS 接口 认证 
[R1lisis 1 , 


[Rl1-isis-l Inetwork-entity 49.0192.0000.0000.0001 00 
[Rl-isis-1lis-level level-1-2 
[R1l-isis-1]quit 


[Rljinterface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0]isis enable 1 

[R1-GigabitEthernet0/0/0]isis authentication-mode simple plain HCNP 

R2 的 配置 如 下 : 
4 [R2Jisis 1 

~ [R2-isis-l1]network-entity 49.0192.0000.0000.0002.00 

[R2-isis-1]is-level level-1-2 

[R2-isis-1]quit 

[R2]Jinterface GigabitEthernet 0/0/0 - 

[R2-GigabitEthermmet0/0/0]isis enable 1 

[R2-GigabitEthernetO/0/0jisis authentication-mode simple plain HCNP 

在 上 述 配 置 中 , isis authentication-mode simple plain HCNP 命令 用 于 在 设备 的 接口 
上 激活 IS-IS 认证 ， 其 中 simple 关键 字 表 示 认 证 方式 为 明文 认证 ， 当 采用 这 种 认证 方式 
时 ， 口 令 HCNP 将 以 明文 的 形式 在 IIH PDU 中 被 携带 ;另外 ，plain 关键 字 则 表示 密码 
为 明文 类 型 ， 当 使 用 该 关键 字 时 ， 命 令 后 面 输入 的 需 是 明文 口令 ， 而 且 该 口令 将 以 明文 
的 方式 保存 在 设备 的 配置 文件 中 ， 当 用 户 读 取 该 配置 文件 时 ， 便 能 够 看 到 明文 的 口令 ， 
这 显然 是 极 不 安全 的 ; 如 果 将 plain 关键 字 蔡 换 成 csipher， 则 命令 后 面 可 和 输入 明文 或 密 
文 口令 , 且 查 看 设备 的 配置 文件 时 , 将 以 密 文 的 形式 显示 所 键入 的 口令 , 因此 安全 性 较 高 。 

完成 上 述 配置 后 ， 以 R1 为 例 ， 它 将 在 目 己 发 送 的 IH PDU 中 附加 认证 TLV 
(Authentication TLV)， 并 在 该 TLV 中 写 入 明文 的 口令 “HCNP”。 男 外 ， 当 R1 在 该 接口 
收 到 HH PDU 时 ， 也 会 解析 该 报 文 的 认证 TLV， 并 且 将 该 TLV 中 包含 的 口令 与 本 地 口 
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令 进 行 比 对 ， 如 果 两 者 匹配 ， 才 会 接收 该 报 文 ， 否 则 会 丢弃 。 图 4-29 展示 了 R1 发 送 的 
IIH PDU， 大 家 应 该 能 轻松 地 从 中 找到 认证 TLV， 以 及 该 TLV 所 携带 的 明文 口令 。 由 于 
采用 的 是 明文 认证 ， 因 此 IIH PDU 的 认证 TLV 中 将 填写 明文 的 口令 ， 如 果 能 够 捕获 Ri 
及 R2 之 间 交 互 的 IH PDU， 即 可 轻松 获取 口令 ， 从 而 对 网 络 造 成 威胁 ， 因 此 在 现实 网 
络 中 ， 不 建议 使 用 这 种 认证 类 型 。 


IEEE 802.3 Ethernet 
LogicaT-Link Contro] 
TSO 10589 ISIS InTRA Domain Routeing Tnformation Exchange Protocol 
Intra Domain Routing Protocol Discriminator: ISIS (Ox83) 
PDU Header Length: 27 
Version (==1): 1 
System ID Length: 6 
PDU Type : Ll1 HELLO {R:000) 
Version2 (==1): 1 
Reserved (==0): 0 
Max.AREAS: (0==3): 3 
BW ISIS HELLO 
Circuit type : Level 1 and 2, reserved(O0x00 == 0) 
System-ID {Sender of PDU} :; 0000.0000,0001 
Holding timer: 9 
PDU length: 1497 
Priority 64, reserved(Ox00 == 0) 
System-ID {Designated 3 0000.0000.0001.01 
用 Area address(es) (4) 
m1IS Neighbor(s) (6) 
nH IP Interface address(es) (4) 
WH Protocols Supported (1) 
9 Authent1icat1ion 
clear text (1 password (length 4) = HCNP 





HMulti Topology (2) 
Padding (255) 
Padding (255) 
Padding (255) 
Padding (255) 
Padding (255) 
Padding (144) 


图 4-29 RI1 发 送 的 IIH PDU 


男 一 种 认证 方式 是 MD5 认证 ， 可 将 R1 的 配置 修改 如 下 : 
[Rllinterface GigabitEthernet 0/0/0 
[R1-GigabitEthermet0/0/0lisis authentication-mode mds cipher HCNP 
将 R2 的 配置 修改 如 下 : 
[R2]interface GigabitEthernet 0/0/0 
. [R2-GigabitEthernet0/0/0]isis authentication-mode mds cipher HCNP 


完成 上 述 操 作 后 ，R1 及 R2 将 在 其 IIH PDU 的 认证 TLV 中 携带 密 文 形式 的 口令 


安全 性 得 到 了 提升 。 
4.5 寺 题 


1. 〈 单 选 ) 如 果 某 台 IS-IS 设备 配置 了 NET: 49.1$24.2011.2102.0000.2192.00， 那 么 
该 设备 所 属 的 区 域 ID 是 ) 


A. 
B. 49.1524.2011.2102.0000 
人。 

D. 49.1324.2011 


49.1524.2011.2102.0000.2192 


49.1524.2011.2102 
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2.( 单 选 ) 图 4-30 中 ， 不 能 正确 形成 IS-IS 邻居 关系 的 是 (  ) 


一 多 @@———— © 


Level-1 路 由 器 Level-1 路 由 器 Level-2 路 由 器 Level-1-2 略 由 器 
Area 49.0001 Area 49.0001 Area 49.1523 Area 49.0234 


(A) (B) 





Level-1 路 由 器 Level-1-2 路 由 器 Level-2 路 由 器 Level-1-2 路 由 器 
Area 49.0001 Area 49.0002 Area 49.7a05 Area 49.7a05 


(C) (D) 
图 4-30 ”哪个 选项 的 路 由 器 之 间 不 能 正确 地 形成 邻居 关系 


3. (多 选 ) 以 下 关于 IS-IS 路 由 器 的 类 型 ， 说 法 正确 的 是 (  ) 


A. 
B. 
GC 


D. 


Level-1 路 由 器 可 以 与 相同 区 域内 的 Level-2 路 由 器 建立 邻居 关系 。 

Level-2 路 由 器 可 以 与 相同 或 者 不 同 区 域内 的 Level-2 路 由 器 建 并 邻 届 关系。 
Level-1-2 路 由 器 只 能 与 不 同 区 域内 的 Level-2 路 由 器 建立 邻居 关系 ， 如 果 对 
方 与 自己 同属 一 个 区 域 ， 则 邻居 关系 无 法 正确 建立 。 

Level-1 路 由 器 无 法 与 不 同 区 域内 的 其 他 路 由 器 建立 邻居 关系 。 


4. (多 选 ) 以 下 关于 DIS 说 法 正确 的 是 ( ) 


A. 


B. 


(% 


县。 


如 果 LSP 的 ID 为 0000.0000.0004.01-00， 则 产生 该 LSP 的 设备 是 其 所 连接 
的 LAN 中 的 DIS。 

接口 DIS 优先 级 最 高 的 设备 〈 的 接口 ) 将 成 为 LAN 的 DIS， 如 果 DIS 优先 
级 相等 ， 则 接口 MAC 地 址 最 小 的 设备 将 成 为 该 LAN 的 DIS。 

一 个 LAN 中 可 能 同时 存在 Level-l 及 Level-2 的 DIS， 并且 两 者 可 以 是 不 同 
设备 。 

不 存在 备份 DIS， 并 且 DIS 不 支持 抢占 。 


5. (多 选 ) 以 下 关于 OSPF 与 IS-IS， 说 法 正确 的 是 (  ) 


A. 
B. 
Gs 


OSPF 及 IS-IS 都 是 链 路 状态 路 由 协议 。 

OSPF 仅仅 支持 卫 环境 ， 而 IS-IS 支持 ISO CLNP 环境 及 IP 环境 。 

对 于 OSPF 而 言 ， 区 域 的 交界 落 在 路 由 器 上 ， 而 对 于 IS-IS 而 言 ， 区 域 的 交 
界 沙 在 链 路 上 。 


. OSPF 使 用 多 种 LSA 类 型 来 承载 各 种 拓扑 信息 及 网 段 信 息 ， 而 IS-IS 则 使 用 


具备 高 扩展 性 的 TLV 来 承载 。 


.| 


二 


5.3 


5.4 


5.5 





路 由 重 分 发 的 概念 

案例 1: RIP 与 OSPF 之 间 的 路 由 重 分 发 
案例 2: 重 分 发 直 连 路 由 到 OSPF 
案例 3: 重 分 发 静态 路 由 到 OSPF 

习题 
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5.1 路 由 重 分 发 的 概念 


到 目前 为 止 ， 本 书 所 讨论 的 多 数 网 络 环境 都 有 一 个 共同 的 特点 ， 那 就 是 在 网 络 中 只 
用 了 一 种 路 由 协议 ， 然 而 现实 生活 中 的 商用 网 络 往往 要 更 加 复杂 和 多 元 化 ， 在 同一 个 网 
络 中 同时 存在 两 种 以 上 路 由 协议 的 情况 是 非常 常见 的 。 举 个 例子 , 假设 A 公司 与 B 公司 
各 有 自己 的 网 络 ,这 两 个 网 络 被 独立 管理 及 运 维 , A 公司 的 网 络 使 用 的 路 由 协议 为 OSPF， 
而 B 公司 使 用 的 路 由 协议 为 RIP， 现 在 这 两 家 公司 合并 成 一 家 公司 ， 导 致 原 有 的 两 张 网 
络 不 得 不 进行 整合 ， 如 图 5-1 所 示 ， 为 了 使 得 合并 后 新 公司 的 业务 流量 能 够 正常 地 在 整 
合 后 的 数据 网 络 上 交互 ， 实 现 路 由 互通 就 是 关键 的 问题 之 一 。 然 而 RIP 和 OSPF 是 两 种 
不 同 的 动态 路 由 协议 ， 路 由 信息 肯定 是 无 法 在 路 由 协议 之 间 直 接 交 互 的 ， 当 然 ， 可 以 进 
行 全 网 路 由 协议 的 重新 规划 及 整改 ， 整 改 后 网 络 中 仅 使 用 单个 路 由 协议 〈 如 OSPF)。 这 
当然 是 可 行 的 ， 但 是 这 样 一 来 实施 和 变更 的 成 本 便 是 一 个 不 得 不 考虑 的 问题 。 另 一 种 
方式 是 ， 保 持 这 两 张 网 络 原 有 的 路 由 规划 ， 然 后 在 RIP 及 OSPF 路 由 域 的 边界 设备 上 
进行 特定 的 操作 ， 使 得 路 由 信息 能 够 在 这 两 个 动态 路 由 协议 之 间 传 递 ， 从 而 实现 路 由 
的 互通 。 


gorse aaa 
.! . 站 





192.168.1.0/24 172.16.1.0/24 
192.168.2.0/24 172.16.2.0/24 
192.168.3.0/24 172.16.3.0/24 
A 公司 的 网 络 B 公司 的 网 络 


. 
» “ ® D 
A TE 


图 5-1 ”两 个 路 由 协议 之 间 路 由 信息 彼此 隔离 


在 同一 个 网 络 拓扑 结构 中 ， 如 果 人 存在 多 种 不 同 的 路 由 协议 ， 由 于 不 同 路 由 协议 的 机 
理 各 有 不 同 ， 对 路 由 的 处 理 也 不 相同 ， 这 就 在 网 络 中 造成 了 路 由 信息 的 隅 离 ， 在 路 由 协 
议 的 边界 设备 上 ， 将 茶 种 路 由 协议 的 路 由 信息 引入 另 一 种 路 由 协议 中 ， 这 个 操作 被 称 为 
路 由 引入 《Route Importation ) 或 者 路 由 重 分 发 〈Route Redistribution )。 

当然 在 实际 项 目 中 ， 同 一 个 网 络 中 存在 多 种 路 由 协议 的 情况 不 仅 限 于 上 文 所 介绍 的 
网 络 合并 的 例子 。 在 一 个 大 型 的 企业 中 ， 由 于 网 络 规模 十 分 庞大 ， 选 用 单一 的 路 由 协议 
可 能 已 经 无 法 满足 网 络 的 需求 ， 因 此 多 种 路 由 协议 共存 的 情况 颇 为 前 见 。 再 者 出 于 业务 
逻辑 的 考虑 ， 通 过 在 不 同 的 网 络 结构 中 设计 、 部 署 不 同 的 路 由 协议 ， 如 图 5-2 所 示 ， 可 
以 使 路 由 的 层次 结构 更 加 清晰 和 可 控 。 画 外 ， 在 执行 路 由 重 分 发 时 ， 还 可 以 部 普 路 由 策 
略 ， 从 而 实现 对 业务 流量 的 灵活 把 控 ， 这 也 是 路 由 重 分 发 的 魅力 之 一 。 
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图 $-2 ”针对 网 络 层 次 化 的 结构 部 署 多 种 路 由 协议 


在 图 5-3 所 示 的 网 络 中 ， 存 在 两 个 动态 路 由 协议 。R1 与 R2 之 间 运 行 RIP 以 便 交 互 
路 由 信息 ，R2 能 够 通过 RIP 学 习 到 R1 通告 的 192.168.1.0/24 及 192.168.2.0/24 路 由 并 将 
它们 加 载 到 路 由 表 。 同 时 R2 与 R3 又 建立 了 OSPF 邻接 关系 ，R2 又 通过 OSPF 学 习 到 
了 路 由 192.168.3.0/24 及 192.168.4.0/24。 那么 对 于 R2 而 言 , 它 自己 就 分 别 通 过 这 两 种 动 
态 路 由 协议 学 习 到 了 到 达 全 网 的 路 由 ， 但 是 缺 省 时 ， 它 不 会 将 其 从 RIP 学 习 到 的 路 由 变 
成 OSPF 路 由 通告 给 R3， 也 不 会 将 其 从 OSPF 学 习 到 的 路 由 变 成 RIP 路 由 告诉 给 R1。 
因此 ，R2 也 就 成 了 RIP 及 OSPF 路 由 域 的 分 界 点 。 那 么 如 何 能 够 打通 网 络 的 路 由 呢 ? 关 
键 点 在 于 R2 上 , 通过 在 R2 上 部 署 路 由 重 分 发 ， 可 以 实现 路 由 信息 在 不 同 路 由 协议 之 间 
的 传递 。 







RI 


192.168.1.0/24 
192.168.2.0/24 











OSPF 





R3 


192.168.3.0/24 
192.168.4.0/24 


Dermat | prow | Nexdiop 
921681004 | pp | RI | 





192.168.1.0/24 | RIP | 
192.168.3.0/24 | OSPF 
192.168.40/24 | OSPF 


R2 的 路 由 表 
图 5-3”R2 运行 了 两 种 动态 路 由 协议 ， 它 是 两 个 路 由 域 的 边界 


R3 
R3 





首先 将 R2 路 由 表 中 的 OSPF 路 由 引入 RIP， 如 图 5-4 所 示 ， 如 此 一 来 R2 的 RIP 进 
程 就 获知 了 这 些 来 自 OSPF 的 外 部 路 由 , 它 将 这 些 被 引入 的 路 由 放置 在 Response 报 文中 


234 HCNP 路 由 交换 学 习 握 南 


通告 给 R1， 而 R1 也 就 能 够 通过 RIP 学 习 到 192.168.3.0/24 及 192.168.4.0/24 路 由 了 。 这 
个 过 程 就 像 是 一 个 既 懂 汉语 又 懂 英 语 的 人 将 别人 通过 汉语 讲述 给 目 己 的 一 个 故事 翻 详 成 
英语 ， 并 告诉 给 了 另 一 个 只 懂得 英语 的 朋友 。 

需要 强调 的 是 , 路 由 重 分 发 的 操作 是 具有 方 问 性 的 , 例如 刚才 执行 的 动作 是 将 OSPF 
路 由 引入 RIP， 这 个 过 程 将 使 得 RIP 网 络 中 的 设备 获知 到 达 OSPF 网 络 的 路 由 ， 但 是 此 
时 在 OSPF 网 络 中 ， 依 然 不 存在 任何 到 达 RIP 域 的 路 由 ， 为 了 实现 全 网 路 由 可 达 ， 还 需 
要 在 R2 上 将 RIP 路 由 引入 OSPF， 也 惑 是 执行 双向 的 路 由 重 分 发 。 图 5-5 描述 了 R2 将 
RIP 路 由 引入 OSPF 的 过 程 。 当 R2 将 其 路 由 表 中 的 RIP 路 由 引入 OSPF 后 ， 对 于 整个 
OSPF 网 络 而 言 ，R2 将 立即 变 成 一 台 ASBR， 它 将 向 OSPF 中 注入 Type-5 LSA， 用 于 描 
述 这 些 被 引入 的 外 部 路 由 。 











人 We 
os, NA 
本 Wo 
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1 192.168.1.0/24 
\ 192.168.2.0/24 






OSPF R3 


192.168.3.0/24 
192.168.4.0/24 






192.168.3.0/24 


Respones oa Ly | 192.168.4.0/24 


192.168.3.0/24 路 由 上 
192.168.4.0/24 路 由 qi 和 nort-route OSPF 路 由 
RIP 进 程 
图 5-4 在 R2 上 将 OSPF 路 由 引入 RIP 















f OSPF R3 


192.168.3.0/24 1 
192.168.4.0/24 4 


本 RI1 
1 192.168.1.0/24 
\192.168.2.0/24 


由 -SLSA 
192.168.1.0/24 492168.1.0/24 路 由 
192.168.2.0/24 | | ‘Type-5 LSA 
RIP 由 人 人 og 由 
二 TImport-route 











Ti OSPF 进 程 
图 5-5 在 R2 上 将 RIP 路 由 引入 OSPF 


路 由 重 分 帮主 要 涉及 如 下 几 种 场景 : 

。 动态 路 由 协议 之 间 的 路 由 重 分 发 〈 例 如 本 节 所 介绍 的 例子 7) 

。 将 直 连 路 由 引入 动态 路 由 协议 ; 

。 将 静态 路 由 引入 动态 路 由 协议 。 

接 下 来 将 为 大 家 详细 地 介绍 各 种 路 由 重 分 发 的 场景 ， 以 及 配置 的 方法 。 
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5.2 ”案例 1: RIP 与 OSPF 之 间 的 路 由 重 分 发 


最 音 见 的 路 由 重 分 发 的 场景 之 一 ， 就 是 在 两 个 动态 路 由 协议 域 的 边界 上 执行 路 由 重 
分 发 操作 ， 将 路 由 信息 从 一 个 动态 路 由 协议 引入 另 一 个 路 由 协议 中 。 在 图 5-6 中 ，R2 同 
时 运行 了 RIP 及 OSPF 两 个 动态 路 由 协议 ， 显 然 它 能 够 从 RIP 学 习 到 R1 通告 的 路 由 
192.168.1.0/24， 也 能 够 从 OSPF 获知 到 达 192.168.3.0/24 的 路 由 ， 也 就 是 说 ， 此 时 R2 的 
路 由 表 中 包含 到 达 全 网 各 个 网 段 的 路 由 信息 ， 但 是 它 所 运行 的 RIP 及 OSPF 是 两 个 完全 
独立 的 路 由 协议 ， 这 两 个 协议 所 维护 的 路 由 信息 也 是 完全 隅 离 的 。 初 始 情况 下 ， 三 台 路 
由 器 的 路 由 表 如 图 5-6 所 示 。 现在 为 了 让 OSPF 与 RIP 网 络 实现 互通 , 就 需要 在 R2 上 执 
行路 由 重 分 发 。 


人 
. 





: RIP 和 OSPF 
: R1 GEO/0/0 >» GEQO/0/] R3 : 

: 192.168.12.1/24 mip 192.168.23.2/24 : 
192.168.1.0/24 FF- 人 192:168.3.0/24 
: GE0/0/0 GE0/0/0 : 

: 192.168.12.2/24 i}: 192.168.23.3/24 ; 


Destination/Mask| Proto [NextHop | [Destinatio/Mask| Proto |N 


192168120124 [Direct| ~ | [19216812024 [Direct| -| 
02 1681004 [Direot| ~ | (192.168230/24 |Direct | 
681004 | mp Rh 


图 5-6 ”RIP 与 OSPF 的 互 操作 





首先 将 R2 路 由 表 中 的 OSPF 路 由 引入 RIP: 


[R2]rip 1 
[R2-rip-1 limport-route ospf 1 cost 2 


在 RIP、OSPF、IS-IS 及 BGP 等 几乎 所 有 的 主流 动态 路 由 协议 中 ，import-route 命 
令 都 被 用 于 执行 路 由 重 分 发 。 留 意 到 现在 的 配置 目标 是 要 将 R2 路 由 表 中 的 OSPF 路 由 
引入 RIP， 因 此 该 命令 需要 在 RIP 配置 视图 下 执行 。 在 上 面 的 例子 中 ，import-route ospf 
1 cost 2 命令 将 使 R2 把 自己 路 由 表 中 通过 OSPF 进程 1 学 习 到 的 所 有 OSPF 路 由 ， 以 及 
在 该 OSPF 进程 中 激活 的 本 地 接口 的 直 连 路 由 都 引入 RIP《〈 并 且 路 由 的 度量 值 为 2)。 因 
此 实际 上 R2 是 将 两 条 路 由 : 192.168.23.0/24 以 及 192.168.3.0/24 引入 RIP 中 ， 如 图 5-7 
所 示 。 

需要 注意 的 是 ， 路 由 重 分 发 的 过 程 是 将 设备 路 由 表 中 的 某 种 路 由 信息 引入 另 一 种 路 
由 协议 中 ， 例 如 本 例 中 ， 当 R2 执行 了 OSPF 到 RIP 的 路 由 重 分 发 后 ，R1 是 能 够 获知 到 
达 192.168.3.0/24 的 RIP 路 由 的 ， 但 是 如 果 此 时 192.168.3.0/24 网 段 失 效 ， 那 么 OSPF 将 
立即 收敛 ，R2 会 把 到 达 该 网 段 的 OSPF 路 由 从 其 路 由 表 中 删除 ， 这 将 直接 对 R2 的 路 由 
重 分 发 操作 产生 影响 ， 此 时 R2 会 立即 向 R1 发 送 一 个 Response 报 文 ， 用 于 撤销 关于 该 
目的 网 段 的 路 由 通告 。 
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TE hE Ed EEA a dd 


R1 GEO/0/0 GE0/0/1 3 


Ry R z 

: 192.168.12.1/24 oi 192.168.23.2/24 
192.168.1.0/24 192;168.3.0/24 

: GEO0/0/0 “Ww GE0/0/0 : 


192.168.12.2/24 192.168.23.3/24 


TIT 
























R1 的 路 由 表 R2 的 路 由 表 R3 的 路 由 表 
Destination/Mask| Proto | NextHop | |Destination/Mask| Proto | NextHop| |Destination/Mask| Proto | NextHop 
192.168120024 [Direct| - | |19216812024|Direct| - 
19216823024| Rip | Ra | | i921681024| RiP | Ri 


图 5-7 在 R2 将 OSPF 路 由 引入 RIP 后 ，R1 的 路 由 表 将 发 生变 化 


另 一 个 需要 留意 的 细节 是 路 由 的 度量 值 。 不 同 的 路 由 协议 对 度量 值 的 定义 是 不 同 
的 ，OSPF 将 开销 作为 路 由 的 度量 值 ， 而 RIP 则 定义 了 跳 数 作为 其 路 由 度量 什 ， 这 显然 
是 两 种 不 同 的 设 定 。 因 此 当 一 条 路 由 被 路 由 器 从 OSPF 引入 RIP 时 ， 路 由 噩 生成 的 RIP 
路 由 的 度量 值 显然 需要 被 重新 定义 ， 在 上 文 配置 的 import-route 命令 中 ， 关 联 了 cost 天 
键 字 来 指定 路 由 被 引入 之 后 的 度量 值 。 在 import-route ospf 1 后 增加 cost 2 则 意 为 将 引 
入 RIP 的 路 由 的 度量 值 设 置 为 2 跳 , 如 此 一 来 ，R2 将 问 Rl 发送 Response 报 文 ， 并 在 报 
文中 包含 被 引入 的 这 两 条 外 部 路 由 ， 它 会 将 路 由 的 度量 值 增加 1 跳 再 发 给 R1。 此 时 RI1 
的 路 由 表 如 下 : 


[R1]display ip routing-table protocol rip 
Destinations : 2 Routes : 2 


RIP routing table status': <Active> 


Destinations : 2 Routes ; 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.3.0/24 RIP 100 3 D 192.168.12.2 GigabitEthernet0/0/0 
192.168.23.0/24 RIP i100 ,3 D 192.168.12.2 .| GigabitEthernet0/0/0 


RIP routing table status : <Inactive> 
“Destinations :0 Routes : 0 





o 果 要 将 其 他 路 由 协议 的 路 由 引入 RIP， 并 且 在 执行 import-route 命令 时 没有 指 
定 cost 关键 字 及 其 参数 ,那么 缺 省 时 , 被 引入 RIP 的 外 部 路 由 的 Cost 值 为 0, 路 由 器 将 
该 外 部 路 由 通告 给 其 他 路 由 器 时 ， 会 将 跳 数 设置 为 1 (也 即 0 跳 加 上 1 跳 )。 可 以 在 RIP 
配置 视图 下 使 用 default-cost 命令 修改 这 个 缺 省 值 (范围 是 0 一 15)。 

在 R2 上 部 署 了 OSPF 到 RIP 的 路 由 重 分 发 后 ，R1 已 经 通过 RIP 获知 了 a 到达 OSPF 


网 络 中 所 有 网 段 的 路 由 。 然 而 此 时 192.168.1.0/24 的 用 户 是 无 法 与 R3 以 及 192.168.3.0/24 
的 用 户 进行 双向 通信 的 ， 这 是 因为 R3 并 没有 发 现 到 达 192.168.1.0/24 的 路 由 。 正 如 前 面 
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所 说 ， 路 由 重 分 发 是 有 方 回 性 的 ， 为 了 使 得 全 网 各 个 网 段 能 够 互通 ， 还 需要 在 R2 上 将 
RIP 路 由 引入 OSPF， 配 置 如 下 : 


ee Jimport-route rip 1 cost 10 type 1 

如 以 上 的 配置 所 示 ， 要 将 RIP 路 由 引入 OSPF， 需 要 在 OSPF 的 配置 视图 下 执行 相 
关 命 令 。Import-route rip 1 cost 10 type 1 命令 被 执行 后 ，R2 路 由 表 中 所 有 通过 RIP 进 
程 1 学 习 到 的 RIP 路 由 ， 以 及 它 已 经 在 该 RIP 进程 中 激活 的 本 地 接口 的 直 连 路 由 都 会 被 
引入 OSPF， 并 且 这 些 被 引入 OSPF 的 外 部 路 由 的 度量 值 类 型 为 Metric-Type-1 (由 命令 
中 的 type 关键 字 所 指定 ， 如 果 未 配置 该 关键 字 ， 则 被 引入 的 外 部 路 由 的 度量 值 类 型 缺 省 
为 Metric-Type-2)， 必 外 度量 值 为 10〈 由 命令 中 的 cost 关键 字 所 指定 ， 如 果 未 配置 该 关 
键 字 ， 则 被 引入 的 外 部 路 由 的 度量 值 缺 省 为 1 )。 

完成 上 述 配 置 后 ，R3 的 路 由 表 如 下 : 

<R3>display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table : OSPF 
Destinations : 2 Routes : 2 


OSPF routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.1.0/24 ©O ASE 150 11 D 192.168.23.2 GigabitEthernet0/0/0 
”192.168.12.0/24 O ASE 150 11 D 192.168.23.2 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 
Destinations :0 Routes:0 





TT” 执行 import-route 命令 将 其 他 路 由 协议 的 路 由 引入 OSPF 时 ,可 以 指定 外 部 路 由 
引入 OSPF 后 的 度量 值 、 度 量 值 类 型 、 标 记 等 信息 ， 如 果 该 命令 中 没有 指定 上 述 信 息 ， 
那么 路 由 器 将 会 为 路 由 的 这 些 属性 设置 缺 省 值 ， 在 OSPF 配置 视图 下 , 使 用 default 命令 
可 修改 这 些 缺 省 值 : 

e default cost 20: 外 部 路 由 被 引入 OSPF 后 ， 其 度量 值 缺 省 被 设置 为 1， 使 用 该 命 
令 可 将 缺 省 值 修改 为 20。 

。 default cost inherit-metric: 执行 该 命令 后 ， 被 引入 OSPF 的 外 部 路 由 的 度量 值 将 
继承 其 被 引入 前 的 值 。 

e default type 1: 外 部 路 由 被 引入 OSPF 后 ， 其 度量 值 类 型 缺 省 被 设置 为 Metric- 
Type-2， 使 用 该 命令 可 将 缺 省 度量 值 类 型 设置 为 Metric-Type-1。 

。 default tag 10: 外 部 路 由 被 引入 OSPF 后 ， 其 路 由 标记 值 缺 省 被 设置 为 1， 使 用 
该 命令 可 将 缺 省 标记 值 设置 为 10。 

在 两 个 动态 路 由 协议 之 间 部 闭路 由 重 分 发 是 一 种 非常 营 见 的 场景 ， 需 要 再 次 强调 的 
是 , 将 路 由 协议 A 的 路 由 引入 路 由 协议 B， 需 要 在 B 的 配置 视图 下 执行 import-route 命 
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令 ， 而 不 是 在 A 的 配置 视图 下 执行 。 


5.3 ”案例 2: 重 分 发 直 连 路 由 到 OSPF 


在 设备 上 部 署 RIP 或 OSPF 时 ， 如 果 和 希望 该 设备 的 直 连 接口 路 由 能 够 被 发 布 到 RIP 
或 OSPF 协议 中 ， 从 而 被 其 他 RIP 或 OSPF 设备 获知 ， 就 必须 在 RIP 或 OSPF 的 配置 视 
图 下 执行 network 命令 ， 从 而 在 该 接口 上 激活 相应 的 动态 路 由 协议 。 而 对 于 IS-IS 而 言 ， 
大 家 已 经 知道 ， 需 在 接口 上 执行 isis enable 命令 ， 这 样 该 接口 的 路 由 才能 够 被 其 他 IS-IS 
设备 学 习 到 。 

以 OSPF 为 例 ， 如 果 某 个 接口 被 用 户 使 用 network 命令 在 特定 的 区 域 配 置 视图 下 激 
活 ， 则 设备 将 在 其 产生 的 Type-1 LSA 中 描述 该 直 连 接口 的 状况 ， 如 此 一 来 ,该 OSPF 网 
络 内 的 其 他 设备 即 可 通过 网 络 中 所 泛 洪 的 LSA 计算 出 到 达 该 接口 所 在 网 段 的 OSPF 内 部 
路 由 (区 域内 或 区 域 则 路 由 )。 人 然而， 如 果 该 接口 并 未 被 network 命令 激活 OSPF， 那 么 
对 于 整个 OSPF 网 络 来 说 ， 这 个 接口 的 路 由 是 无 法 被 感知 的 ， 也 就 是 说 ， 该 接口 的 路 由 
此 时 对 于 整个 OSPF 网 络 而 言 是 不 可 见 的 外 部 路 由 。 

那么 除了 在 设备 的 接口 上 激活 动态 路 由 协议 ， 还 有 其 他 方法 能 够 将 设备 的 接口 直 连 
路 由 发 布 到 动态 路 由 协议 中 么 ? 答案 当然 是 有 的 , 那 便 是 将 直 连 路 由 引入 动态 路 由 协议 。 
如 图 5-8 所 示 ，R3 并 未 在 其 GE0/0/1 接口 上 激活 OSPF， 其 初始 配置 如 下 : 

[R3]ospf 1 router-id 3.3.3.3 

[R3-ospf-1]area 0 

[R3-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255 


ET ETE 





OSPF : 


R1 GEO/0/0 R2 GEO/0/l R3 


: 192.168.12.1/24 192.168.23.2/24 GE0/0/ 
: 3 一 1 GE000 192.168.3.0/24 


192.168.12.2/24 192.168.23.3/24 





ET 


图 5-8 将 直 连 路 由 引入 OSPF 


此 时 整个 OSPF 网 络 并 不 知晓 到 达 192.168.3.0/24 的 路 由 。 接 下 来 ， 可 以 在 R3 上 执 
行路 由 重 分 发 ， 将 其 路 由 表 中 的 直 连 路 由 引入 OSPF: 


[R3]ospf 1 
[R3-ospf-1]jimport-route direct 


在 以 上 配置 中 ，import-route direct 命令 用 于 将 本 设备 路 由 表 中 的 所 有 直 连 路 由 引 
入 OSPF。 正 如 上 文 所 说 ， 这 条 命令 将 会 把 R3 路 由 表 中 所 有 直 连 路 由 都 引入 OSPF， 其 
中 当然 也 包括 192.168.3.0/24 这 条 直 连 路 由 ， 如 此 一 来 ，R2 的 路 由 表 中 就 出 现 了 
192.168.3.0/24 路 由 ， 并 且 该 路 由 的 类 型 为 AS 外 部 路 由 《留意 其 Proto 为 O_ ASE ): 


<R2>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


一 一 一 -一 -一 一 一 一 一 -一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table : OSPF 
Destinations : 1 Routes: 1 
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OSPF routing table status : <Active> 


Destinations : 1 Routes :1 
DestnationMask Prom (Pte ' Cost ，Flass Next {Interface 
192.168.3.0/24 O ASE 150 1 D 192.168.23.3 GigabitEthernet0/0/1 


OSPF routing table status : <Inactive> : 
Destinations : 0 Routes ; 0 | 

当然 ，R1 也 能 通过 OSPF 获知 到 达 192.168.3.0/24 的 外 部 路 由 。 值 得 注意 的 是 ， 当 
R3 的 GE0/0/1 接口 故障 时 ， 其 路 由 表 中 关于 该 接口 的 直 连 路 由 会 失效 ， 那么 它 将 立即 意 
识 到 此 前 引入 OSPF 的 路 由 中 192.168.3.0/24 路 由 需要 撤销 , 于 是 它 向 OSPF 网 络 泛 洪 一 
个 新 的 Type-5 LSA 以 便 将 此 前 通告 的 、 用 于 描述 该 路 由 的 Type-5 LSA 老化 。 最 终 ，R1 
及 R2 将 会 把 该 路 由 从 目 己 的 路 由 表 中 移 除 。 

将 直 连 路 由 引入 其 他 动态 路 由 协议 中 ， 同 样 是 使 用 import-route direct 命令 。 


5.4 案例 3: 重 分 发 静态 路 由 到 OSPF 


对 于 动态 路 由 协议 而 言 ， 静 态 路 由 被 视 为 域外 的 路 由 信息 ， 这 些 路 由 并 不 被 动态 路 
由 协议 直接 感知 。 此 时 如 果 希 望 该 动态 路 由 协议 域内 的 所 有 设备 都 能 通过 这 个 路 由 协议 
学 习 到 这 些 路 由 ， 就 需 将 静态 路 由 引入 该 动态 路 由 协议 。 

在 图 5-9 所 示 的 网 络 中 ，R2 及 R3 运行 了 OSPF 并 且 建 立 了 邻接 关系 。R1 并 不 支持 
OSPF， 因 此 我 们 为 它 添加 了 一 条 默认 路 由 且 下 一 跳 为 R2， 男 一 方面 , 为 了 让 R2 能 够 到 
达 192.168.1.0/24， 还 需要 在 R2 上 配置 静态 路 由 : 


[R2]ip route-static 192.168.1.0 24 192.168.12.1 


OSPF ; 

RI1 GEO/0/0 R2: GEO/0/1 R3 | 

192.168.12.1/24 192.168.23.2/24 : 

192.168.1.0/24 : 
GE0/0/0 四 GE0/0/0 ; 


192.168.12.2/24 : 192.168.23.3/24 


图 5-9 ”将 静态 路 由 引入 OSPF 


现在 R2 已 经 能 够 将 发 往 192.168.1.0/24 的 数据 转发 到 R1 了 ， 这 得 益 于 上 述 静 态 路 
由 的 配置 。 但 是 这 条 静态 路 由 对 于 R3 以 及 整个 OSPF 网 络 而 言 是 不 可 见 的 ， 是 域外 的 
路 由 ， 因 此 R3 及 OSPF 域内 的 其 他 路 由 器 初始 时 均 无 法 访问 192.168.1.0/24。 您 可 能 会 
想到 ， 在 R3 上 也 添加 静态 路 由 就 能 解决 这 个 问题 了 ， 这 的 确 是 一 个 最 直接 的 方法 ， 但 
是 却 不 是 最 高 效 和 可 扩展 性 最 高 的 方法 。 设 想 一 下 ， 如 果 OSPF 域内 的 路 由 器 数量 非常 
大 呢 ? 难道 每 台 路 由 器 都 需要 部 署 静 态 路 由 么 ?因此 , 这 显然 并 非 最 佳 的 方案 。 实 际 上 ， 
通过 在 R2 上 将 静态 路 由 引入 OSPF 即 可 很 好 地 解决 这 个 问题 。 
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R2 的 关键 配置 如 下 : 


[R2]ip route-static 192.168.1.0 24 192.168.12.1 


[R2]ospf 1 

[R2-0spf-1]import-route static 

[R2-ospf-1]area 0 

[R2-osp 人 1-area-0.0.0.0]network 192.168.23.0 0.0.0.255 

在 R2 的 OSPF 视图 中 执行 的 import-route static 命令 ， 用 于 将 其 路 由 表 中 的 所 有 静 
态 路 由 引入 OSPF 。 将 静态 路 由 引入 其 他 动态 路 由 协议 中 , 同样 是 使 用 import-route static 


命令 。 


5.5 习题 


1. 〈 单 选 ) 以 下 关于 路 由 重 分 发 的 说 法 ， 错 误 的 是 (  ) 
A. 在 某 台 设备 上 ， 将 其 路 由 表 中 来 源 于 X 路 由 协议 的 路 由 引入 Y 路 由 协议 ， 
是 在 Y 路 由 协议 的 配置 视图 下 执行 import-route 命令 。 
B. 设备 A 执行 了 import-route 命令 并 成 功 将 其 接口 GE0/0/1 的 直 连 路 由 引入 
OSPF 后 ， 该 接口 也 就 激活 了 OSPF， 并 开始 周期 性 地 发 送 Hello 报 文 。 
C. 在 OSPF 配置 视图 中 ， 如 果 执 行 了 import-route direct 命令 ， 则 设备 会 把 路 
由 表 中 所 有 的 直 连 路 由 都 引入 OSPF， 其 中 包括 已 经 被 network 命令 激活 了 
OSPF 的 接口 的 直 连 路 由 。 
D. 在 OSPF 配置 视图 中 ， 如 果 执 行 了 import-route static 命令 ， 则 设备 会 把 路 
由 表 中 所 有 的 静态 路 由 都 引入 OSPF， 失 效 的 静态 路 由 是 不 会 被 引入 OSPF 的 。 
2. 在 图 5-10 中 ，R1 并 不 支持 OSPF，R2 与 R3 运行 OSPF 并 建立 了 邻接 关系 。 为 
了 能 够 将 到 达 192.168.1.0/24 的 数据 包 顺 利 转 发 到 RI1,R2 配置 了 到 达 该 网 段 的 静态 路 由 ， 
并 且 它 将 该 静态 路 由 引入 了 OSPF。 然 而 在 本 场景 中 ， 存 在 一 个 小 问题 ， 即 如 果 R1 发 生 
故障 ， 那 么 R2 是 无 法 感知 的 ， 该 条 静态 路 由 也 不 会 消失 ， 也 依然 会 被 引入 OSPF， 此 时 
OSPF 网 络 内 发 往 192.168.1.0/24 的 数据 包 仍 然 会 被 转发 到 R2 一 一 这 实际 上 是 没有 总 义 的 。 
尝试 找到 解决 方案 ， 使 得 R1 发 生 故 障 时 ，OSPF 网 络 内 的 设备 〈 例 如 ) R3 不 会 再 
学 习 到 192.168.1.0/24 路 由 。 


ip route-static 192.168.1.0 24 192.168.12.1 


OSPF 有: 
RI R2 R3 


192.168.12.1/24 : 


图 5-10” 当 RI1 发 生 故 障 时 ，R2 需 将 下 一 跳 为 R1 的 静态 
路 由 删除 ， 并 且 不 再 向 OSPF 引入 该 路 由 
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6.1 路 由 荣 略 概述 


路 由 策略 (Routing Policy) 是 一 套用 于 对 路 由 信息 进行 过 滤 、 属 性 设置 等 操作 的 方 
法 ， 通 过 对 路 由 的 控制 ， 可 以 影响 数据 流量 转发 操作 。 实 际 上 路 由 策略 并 非 单一 的 技术 
或 者 协议 ， 而 是 一 个 技术 专题 或 方法 论 ， 里 和 面包 含 看 多 种 工具 及 方法 。 

图 6-1 展示 了 一 个 企业 的 网 络 。 地 市 分 公司 的 网 络 内 运行 了 OSPF, 这 使 得 该 网 络 内 
能 够 实现 数据 互通 。 省 公司 的 PE 路 由 器 (PE1 及 PE2) 与 地 市 分 公司 的 出 口 路 由 器 (OR-R1] 
及 OR-R2) 直 连 ， 并 通过 建立 BGP (Border Gateway Protocol， 边 界 网 关 协 议 ) 对 等 体 
关系 来 交互 BGP 路 由 。PE1 及 PE2 将 到 达 省 公司 网 络 的 路 由 通过 BGP 通告 给 OR-R1 及 
OR-R2。 男 外 ， 为 了 使 地 市 分 公司 内 的 网 络 设备 能 够 将 发 往 省 公司 的 流量 送 达 目的 地 ， 
OR-R1 及 OR-R2 将 到 达 省 公司 的 BGP 路 由 引入 了 OSPF。 


wD We NN rrvvorrrnsaynnnynnyy 
天 






地 市 分 公司 
OSPF 


SZ \ 


六 
人 


图 6-1 企业 网 络 中 的 路 由 策略 部 署 需求 


然而 该 企业 并 不 布 望 地 市 分 公司 获知 到 达 省 公司 的 所 有 BGP 路 由 ， 而 且 BGP 通 季 
令 用 于 承载 大 批量 的 路 由 信息 ， 如 果 狐 地 把 所 有 BGP 路 由 全 部 引入 OSPF， 将 瞬间 使 得 
地 市 分 公司 的 网 络 设备 的 路 由 表 规 模 迅 速 增 大 ， 设 备 的 性 能 势必 受到 极 大 挑战 。 

那么 如 何 限制 路 由 通告 呢 ? 如 何 有 选择 性 地 将 BGP 路 由 引入 OSPF 呢 ? 网 络 管理 员 
可 以 在 省 公司 的 PE 路 由 器 上 执行 路 由 过 滤 ， 只 将 特定 的 BGP 路 由 通告 给 OR-R1 及 
OR-R2。 男 外 ， 当 OR-R1 及 OR-R2 收 到 省 公司 通告 的 BGP 路 由 时 ， 为 了 让 OSPF 域内 
的 其 他 设备 能 够 学 习 到 这 些 路 由 ， 可 以 在 路 由 重 分 发 过 程 中 进行 相应 的 配置 ， 只 将 特定 
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的 路 由 引入 OSPF。 

此 外 如 果 企 业 和 希望 地 市 分 公司 访问 省 公司 的 部 分 网 络 资源 时 通过 OR-R1 到 达 , 而 访 
问 男 一 部 分 网 络 资源 时 则 通过 OR-R2 到 达 , 网 络 管理 员 也 可 以 通过 适当 地 操控 路 由 属性 
来 实现 上 述 需 求 。 

综 上 所 述 ， 路 由 策略 的 应 用 是 非常 广泛 的 ， 也 是 非常 重要 的 ， 我 们 主要 通过 部 普 路 
由 策略 来 实现 如 下 几 种 需求 。 

(1) 网 络 设备 在 发 布 路 由 更 新 ， 或 者 接收 路 由 更 新 时 执行 路 由 过 滤 。 

(2) 网 络 设备 在 执行 路 由 重 分 发 时 ， 关 联 路 由 策略 ， 只 将 特定 的 路 由 引入 目标 路 由 
协议 。 

(3) 针对 不 同 的 路 由 设置 不 同 的 路 由 属性 〈 例 如 路 由 的 度量 值 、 路 由 的 优先 级 或 路 
由 的 标记 等 )。 

后 续 的 小 节 将 陆续 问 大 家 介绍 用 于 部 署 路 由 策略 的 几 个 工具 。 


6.2 Route-Policy 


Route-Policy 〈 路 由 -策略 ) 是 路 由 策略 技术 专题 中 的 一 个 重要 工具 ， 它 能 在 各 种 场 
合 很 好 地 完成 路 由 策略 的 部 署 任务 , 而 且 功 能 非常 强大 , 它 既 可 以 被 用 来 执行 路 由 过 滤 ， 
又 可 以 用 于 修改 路 由 的 属性 。 

在 图 6-2 所 示 的 网 络 中 存在 两 个 动态 路 由 协议 域 一 一 OSPF 及 RIP， 而 R2 处 于 两 个 
域 的 边界 。R2 同时 运行 着 RIP 及 OSPF， 为 了 让 Rl1 能 学 习 到 OSPF 域 中 的 路 由 信息 ， 
我 们 需要 在 R2 上 部 署 路 由 重 分 发 ， 将 OSPF 路 由 引入 RIP。 缺 省 情况 下 ，R2 的 路 由 表 
中 所 有 的 OSPF 路 由 都 会 被 引入 RIP， 而 且 这 些 路 由 被 引入 后 ， 它 们 的 跳 数 都 是 统一 的 ， 
是 一 个 相同 的 值 。 如 果 希 望 R2 只 将 特定 的 OSPF 路 由 引入 RIP， 而 不 是 全 部 ， 并 且 对 引 
入 后 的 路 由 设置 不 同 的 跳 数 ， 该 如 何 操作 呢 ? 此 时 就 可 以 在 路 由 重 分 发 的 过 程 中 应 用 
Route-Policy。 








10.1.3.0/24 
10140/24 | OsPF | R3 | 


图 6-2 ”在 执行 路 由 重 分 有 友 时 应 用 Route-Policy 


实际 上 Route-Policy 的 应 用 不 仅仅 局 限 在 上 述 场景 ， 学 习 完 本 节 之 后 ， 我 们 应 该 
能 够 : 
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e 了 了解 Route-Policy 的 基本 概念 ; 
e 掌握 Route-Policy 的 基础 配置 ; 
e 掌握 Route-Policy 在 各 种 场景 下 的 应 用 。 


6.2.1 Route-Policy 的 基本 概念 


Route-Policy 是 一 个 非常 重要 的 路 由 策略 工具 ,如 图 6-3 所 示 , 您 可 以 把 它 想 象 成 拥 
有 一 个 或 多 个 市 点 (Node) 的 列表 ， 每 一 个 节点 都 可 以 是 一 系列 条 件 语句 及 执行 语句 的 
合 ， 这 些 贡 点 按照 编号 从 小 到 大 的 顺序 排列 。 在 每 个 节点 中 ， 用 户 可 以 定义 条 件 语 名 
及 执行 语句 ， 这 束 有 点 像 程序 设计 语言 里 的 下 Then〈 如 果 - 则 ) 组合。 在 Route-Policy 
被 执行 的 时 候 ， 设 备 从 编号 最 小 的 节点 开始 进行 路 由 匹配 ， 在 本 例 中 首先 看 节点 ] 
(图 6-3 中 ， 最 小 的 节点 编号 为 1 )， 设 备 对 该 节点 中 的 条 件 语句 进行 匹配 ， 如 果 被 匹配 
的 对 象 满足 所 有 条 件 ， 则 执行 该 节点 中 的 执行 语句 ， 并 且 不 会 再 继续 往 下 一 个 节点 进行 
匹配 。 而 如 条 贡 氮 1 中 ， 有 任何 一 个 条 件 不 满足 ， 则 前 往 下 一 个 节点 ， 也 就 是 到 节点 2 
中 去 匹配 条 件 语 名， 如果 被 匹配 的 对 象 满足 所 有 和 条件， 则 执行 该 节点 中 的 执行 语句 ， 如 
果 不 满足 ， 则 继续 往 下 一 个 节点 进行 匹配， 以 此 类 推 。 


Node 1 匹配 模式 Permit) 


条 件 语句 
执行 语句 
Node 2 匹配 模式 Permit) 匹 
条 件 语句 配 
Route-Policy hcnp 顺 
’ 序 


Node N〔 匹 配 模式 Permit) 
条 件 语句 
执行 语句 





图 6-3 Route-Policy 初 相识 


图 6-4 展示 了 一 个 Route-Policy 实例 ， 该 Route-Policy 的 名 称 为 hcnp， 一 共有 三 个 
车 点 , 序号 分 别 是 5, 10 和 15。 之 所 以 在 每 个 序号 之 
间 预 留 4 个 数 。 是 为 考虑 抽 展 性 ,了 这样 一 来 用 户 如 | mo 全 
果 需 要 插入 新 节点 ， 则 还 有 预 留 的 序号 可 以 使 用 。 每 if-match x2 
个 节点 中 都 配置 了 条 件 语句 (使 用 让 mateh 命令 定 | 一 2 中” 

义 ) 及 执 行 语 颁 ] ( 使 用 apply 命 今 定 人 下 a 该 route-policy hcnp permit node 10 
Route-Policy 被 调用 且 开 始 执行 时 ， 路 由 匹配 的 操作 | | srpw 2、 

将 从 序号 最 小 的 节点 一 一 节点 $ 开始 进行 。 节 点 5 中 
定义 了 多 条 if-match 语句 ， 只 有 当 所 有 的 证 match 语 和 PE 
名 都 满足 时 , 才 会 执行 yl 所 定义 的 动作 。 如 果 节 点 $ apply y3 

中 有 任何 一 个 条 件 不 满足 , 则 继续 到 下 一 个 节点 中 进 
行 匹 配 。 图 6-4 Route-Policy 的 示例 
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6.2.2 ”基础 配置 


1. 创建 一 个 Route-Policy 节点 

route-policy route-policy-name { permit | deny } node node 

在 设备 的 系统 视图 中 使 用 上 述 命令 ， 即 可 创建 一 个 Route-Policy 节点 ， 并 进入 该 
Route-Policy 节点 的 配置 视图 。 在 该 命令 中 , Route-Policy 的 名 称 可 以 根据 需要 自行 定义 ， 
在 名 称 的 后 面 ， 有 两 个 关键 字 可 以 选择 ， 它 们 用 于 指定 该 节点 的 匹配 模式 。 

。 Permit: 指定 该 节点 的 匹配 模式 为 允许 。 如 果 路 由 匹配 的 结果 是 满足 该 节点 的 所 
有 让 match 语句 ， 则 该 路 由 被 视 为 允许 通过 ， 该 节 氮 的 apply 语句 将 被 执行 ， 且 不 再 进 
入 下 一 个 节点 ; 如 果 该 节点 中 有 认 match 语句 不 满足 ， 则 进入 下 一 个 节 扣 继续 匹配 。 

e Deny: 指定 节点 的 匹配 模式 为 拒绝 。 如 果 节 点 的 匹配 模式 为 deny， 则 该 节点 的 
apply 语句 将 不 被 执行 。 如 果 路 由 匹配 的 结 末 是 满足 该 节点 的 所 有 让 match 语句 ， 那 么 
Route-Policy 的 匹配 过 程 立 即 结束 ， 不 会 再 进入 下 一 个 节点 ， 而 且 满 足 该 节点 条 件 的 路 
由 被 视 为 拒绝 通过 。 如 果 该 节点 下 有 论 match 语句 不 满足 ， 则 进入 下 一 个 节点 继续 匹配 。 

以 命令 route-policy hcnp permit node 10 为 例 ， 如 果 设 备 上 不 存在 Route-Policy 
hcnp， 那么 执行 该 命令 后 , 设备 将 创建 名 称 为 henp 的 Route-Policy， 同 时 在 该 Route-Policy 
中 创建 一 个 节点 ， 该 节点 的 匹配 模式 为 permit， 且 编号 为 10。 

值得 注意 的 是 ， 当 Route-Policy 用 于 路 由 匹配 时 ， 被 匹配 对 象 〈( 也 就 是 路 由 条 目 ) 
必须 满足 一 个 节点 中 的 所 有 论 match 语句 ， 才 被 认为 匹配 该 节点 。 如 有 条 示人 条 路 由 没有 被 
Route-Policy 的 任何 节点 匹配 ， 则 该 路 由 被 视 为 拒绝 通过 该 Route-Policey， 也 就 是 说 ， 
Route-Policy 的 末尾 隐 含 着 一 个 类 似 拒绝 所 有 的 节点 。 当 然 ， 为 了 避免 所 有 的 路 由 都 被 
拒绝 通过 ， 一 个 Route-Policy 中 必须 至 少 有 一 个 节点 的 匹配 模式 为 permit。 

2. (可 选 ) 配置 if-match 语句 

在 Route-Policy 的 节点 视图 下 ， 使 用 这 match 命令 可 定义 匹配 条 件 ， 所 匹配 的 对 象 
是 路 由 信息 的 一 些 属性 ， 例 如 路 由 的 目的 网 络 地 址 或 掩 码 长 度 、 度 量 什 、 标 记 或 下 一 跳 
IP 地 址 等 。 以 下 是 一 些 常用 的 fmatch 命令 。 

e 了 几 配 ACL: 

if-match acl { acl-number | acl-name } 

e 号 配 TIP 前 级 列表 : 

if-match ip-prefix ip-prefix-name 

。 史 配 路 由 的 度量 值 : 

if-match metric metric 

。 匹配 路 由 的 出 接口 : 

if-match interface interface-type interface-number 

。 [匹配 路 由 的 标记 : 

if-match tag tag 

一 个 节点 中 可 以 包含 多 条 if-match 语句 ， 这 些 if-match 语句 之 间 是 “与 ”的 关系 ， 
也 就 是 说 所 有 的 让 match 语句 必须 同时 满足 ， 被 匹配 对 象 才 被 视 为 匹配 该 节点 ， 但 是 
if-match route-type 和 if-match interface 等 除外 ， 这 些 命 令 各 目的 fmatch 语句 之 间 是 
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一 个 节点 中 可 以 不 包含 任何 fmatch 语句 ， 当 这 种 情况 出 现时 ， 则 视 为 匹配 所 有 ， 
也 就 是 任何 的 被 丐 配对 象 都 满足 该 节点 的 条 件 。 

3. (可 选 ) 配置 apply 语句 

在 Route-Policy 的 节点 视图 下 ， 使 用 apply 命令 指定 需 执行 的 动作 ， 这 些 动作 主要 
是 对 所 匹配 的 路 由 的 某 些 属性 进行 修改 ， 例 如 修改 路 由 的 度量 值 、 优 先 级 值 、 标 记 等 。 
以 下 是 一 些 常 用 的 apply 命令 。 

。 设置 路 由 的 度量 值 : 

apply cost [+|- | cost 

。 设置 路 由 的 度量 值 类 型 : 

设置 IS-IS 的 度量 值 类 型 : apply cost-type { external | internal } 

设置 OSPF 的 度量 值 类 型 : apply cost-type { type-1 | type-2 } 

。 设置 路 由 的 下 一 跳 地 址 : 

apply ip-address next-hop { ipv4-address | peer-address } 

。 设置 路 由 的 优先 级 : 

apply preference preference 

。 设置 路 由 的 标记 : 

apply tag fag 

一 个 节点 中 可 以 不 包含 任何 apply 语句 ， 此 时 该 节点 只 被 用 于 执行 路 由 过 滤 ， 而 不 
用 于 设置 路 由 的 属性 。 


6.2.3 ”案例 1: 在 引入 直 连 路 由 时 调用 Route-Policy 


在 图 6-5 所 示 的 网 络 中 ，R1 及 R2 在 各 目的 GE0/0/0 接口 上 激活 OSPF 并 在 Area0 
内 建立 邻接 关系 。R1 还 有 另外 三 个 直 连 接口 , 这 三 个 接口 并 没有 使 用 network 命令 激活 
OSPF。 为 了 让 OSPF 域内 的 路 由 器 能 够 学 习 到 R1 的 GE0/0/1 及 GE0/0/2 接口 的 路 由 (了 且 
路 由 的 度量 值 为 20), 就 需要 在 R1 上 将 直 连 路 由 引入 OSPF, 但 是 这 样 一 来 ， Rl1 所 有 的 
直 连 路 由 都 会 被 引入， 这 显然 并 非 我 们 期 望 看 到 的 结果 。 


GEO/0/l ™ OO OR TR TO RO CR SO CR 站 
10.0.1.1/24 i : 





Ri OSPF Area0 R2 
GE0/0/2 : 
OO GE0/0/0 GE0/0/0 
10.1.12.1/24 10.1.12.2/24 
GE1/0/0 
10.0.3.1/24 


Rs， . 
ETE 


图 6-5 RI1 将 直 连 路 由 引入 OSPF 时 应 用 Route-Policy 


R1 执行 路 由 重 分 发 时 ， 可 以 调用 Route-Policy， 在 Route-Policy 中 匹配 需要 被 引入 
的 路 由 ， 从 而 实现 本 例 的 需求 。 
R1 的 关键 配置 如 下 : 


# 定 义 acl2000， 用 于 匹配 需要 人 允许 的 路 由 : 
[R1Jacl 2000 
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[Rl-acl-basic-2000]rule permit source 10.0.1.0 0.0.0.0 
[Rl-acl-basic-2000]rale permit source 10.0.2.0 0.0.0.0 
[RI-acl-basic-2000]quit 


# 创 建 一 个 Route-Policy， 名 字 为 henp， 同 时 配置 第 一 个 节点 ,节点 编号 为 10: 

[RIjroute-policy hcnp permit node 10 | * 

# 在 节点 10 中 ， 定义 一 个 if-match 语句 ， 调用 acl 2000; 

[Rl-route-policy]if-match acl 2000 

# 在 节点 10 中 ， 定 义 一 个 apply 语句 ， 设 置 路 由 的 度量 值 为 20: 

[R1-route-policy]apply cost 20 

[了 1I-route-policy]quit 

# 卫 图 OSPF: 

[Rl]ospf 1 

[Rl1-ospf-1]Jarea 0 

[R1-ospf-1-area-0.0.0.0Jnetwork 10.1.12.0 0.0.0.255 

[R1-ospf-1-area-0.0.0.0]quit 六 

[Rl-ospf-1 Jimport-route direct route-policy hcnp 

在 以 上 配置 中 ， 我 们 首先 创建 了 ACL2000， 这 个 ACL 用 于 匹配 感 兴 《 趣 的 路 由 。 在 
本 案例 中 ，R1 的 两 条 直 连 路 由 : 10.0.1.0/24 及 10.0.2.0/24 就 是 感 兴 趣 的 路 由 ， 也 正 是 需 
要 被 ACL2000 匹配 的 路 由 。 您 可 能 已 经 留意 到 ACL2000 中 配置 了 两 条 规则 ， 值 得 注意 
的 是 ，ACL 只 能 够 匹配 路 由 的 目的 网 络 地 址 ， 而 无 法 对 路 由 的 目的 网 络 掩 码 进行 匹配 ， 
因此 这 里 使 用 rule permit source 10.0.1.0 0.0.0.0 命令 来 匹配 路 由 条 目 10.0.1.0/24 中 的 目 
的 网 络 地 址 10.0.1.0。 另 一 条 规则 同 理 。 

接 下 来 , 一 个 名 称 为 hcnp 的 Route-Policy 被 创建 , 这 个 Route-Policy 只 有 一 个 节点 ， 
其 编号 为 10。 这 个 节点 配置 了 一 条 if-match 语句 ， 这 条 if-match 语句 调用 了 ACL2000， 
因此 被 匹配 的 对 象 只 有 满足 if-match 语句 中 的 ACL， 才 算是 满足 该 让 match 语句 ， 路 由 
才 被 允许 通过 ， 此 时 apply 语句 才 会 被 执行 。 在 该 节点 中 ，apply 语句 设置 为 修改 路 由 的 
度量 值 一 一 将 度量 值 修改 为 20。 





: 在 本 例 中 ,使 用 if-match interface GigabitEthernet 0/0/1 以 及 if-match interface 
GigabitEthernet 0/0/2 命令 可 实现 与 if-match acl 2000 命令 相同 的 效果 , 它们 都 可 以 匹配 
路 由 10.0.1.0/24 及 10.0.2.0/24。 


最 后 在 OSPF 配置 视图 下 , 命令 import-route direct route-policy henp 被 用 于 将 直 连 
路 由 引入 OSPF， 在 直 连 路 由 被 引入 OSPF 时 ， 由 于 该 操作 调用 了 Route-Policy， 因 此 直 
连 路 由 被 引入 OSPF 之 前 ， 需 要 先 过 Route-Policy 这 一 关 。 由 于 路 由 10.0.3.0/24 无 法 被 
ACL2000 匹配 ， 也 就 不 满足 Route-Policy 的 节点 10 中 的 论 match 语句 ， 因 此 该 路 由 被 
Route-Policy 拒绝 ， 故 不 会 被 引入 OSPF。 而 10.0.1.0/24 及 10.0.2.0/24 路 由 则 顺利 地 被 
R1 引入 了 OSPF， 而 且 路 由 的 度量 值 被 设置 为 20。 


6.2.4 ”案例 2: 在 引入 静态 路 由 时 调用 Route-Policy 


在 图 6-6 所 示 的 网 络 中 , R1、R2 及 R3 运行 了 OSPF, R3 下 挂 着 一 个 终端 网 络 。 SWI1 
及 SW2 连接 着 服务 器 集群 ， 这 些 服务 器 分 为 两 类 ， 一 类 是 生产 服务 器 ， 使 用 的 IP 网 段 
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是 10.0.1.0/24， 男 一 类 则 是 办 公 服 务 器 ， 使 用 的 IP 网 段 是 10.0.2.0/24。SW1 及 SW2 并 
不 运行 OSPF， 因 此 为 了 使 Rl 及 R2 收 到 PC 发 往 服 务 器 集群 的 数据 包 时 能 够 将 其 转发 
到 目的 地 ， 我 们 就 需要 在 Rl1 及 R2 上 部 署 到 达 10.0.1.0/24 及 10.0.2.0/24 的 静态 路 由 。 







产 网 段 10.0.1.0/24 1 
办 公 网 段 10.0.2.0/24 】 






10.1.1.1/30 10.1.1.3/30 


R1 的 策略 : 


静态 路 由 态 路 由 
10.0.1.0/24 10.0.2.0/24 


A 


R2 的 策略 : 


em 静态 路 由 
10.0.1.0/24 10.0.2.0/24 
192.168.13.1 192.168.23.2 


ASE O ASE O 
10.0.1.0/24 10.0.2.0/24 
Cost=20 Cost=10 











Cost=20 





所 
EET 


图 6-6 将 静态 路 由 引入 OSPF 时 调用 Route-Policy 


网 络 要 求 缺 省 时 PC 发 往生 产 服务 器 的 流量 从 R3-R1-SW1 这 条 路 径 到 达 目 的 地 ， 当 
RI1 发 生 故 障 时 ， 或 R1-SW1 之 间 的 链 路 发 生 故 障 时 ， 又 或 者 R1-R3 之 间 的 链 路 发 生 故 
障 时 ， 该 流量 要 能 够 自动 切换 到 R3-R2-SW2 这 条 路 径 。 另 外 ， 缺 省 时 PC 发 往 办 公 服 务 
占 的 流量 从 R3-R2-SW2 这 条 路 径 到 达 目 的 地 ， 当 R2 发 生 故 障 时 ， 或 R2-SW2 之 间 的 链 
路 发 生 故 障 时 ， 又 或 者 R2-R3 之 间 的 链 路 发 生 故 障 时 ， 该 流量 能 够 自动 切换 到 
R3-R1-SW1 这 条 路 径 。 网 络 管理 员 该 如 何 通过 部 署 路 由 策略 的 方式 实现 上 述 需 求 呢 ? 

先 来 整理 一 下 思路 ,首先 R1 及 R2 都 需要 配置 静态 路 由 , 以 便 其 自身 到 达 10.0.1.0/24 
及 10.0.2.0/24， 为 了 让 OSPF 域内 的 其 他 路 由 顽 〈 如 R3) 学 习 到 这 两 条 路 由 ，R1 及 R2 
驶 需 要 将 静态 路 由 引入 OSPF， 然 而 路 由 被 引入 后 度量 值 该 如 何 把 控 ? 这 便 是 问题 的 关 
键 ,为 了 实现 该 网 络 的 需求 ,我们 在 R1 及 R2 上 部 署 路 由 重 分 发 时 , 可 调用 Route-Policy， 
总 体 的 思路 是 R1 将 静态 路 由 10.0.1.0/24 引入 OSPF 时 ， 将 其 度量 值 设 置 为 10， 而 R2 
将 静态 路 由 10.0.1.0/24 引入 OSPF 时 ， 将 其 度量 值 设 置 为 20， 如 此 一 来 ，R3 在 计算 到 
达 10.0.1.0/24 的 外 部 路 由 时 ， 就 会 优选 度量 值 更 小 的 路 径 一 一 从 R1 到 达 。 同 理 R1 将 
10.0.2.0/24 路 由 引入 OSPF 时 ， 将 其 度量 值 设 置 为 20， 而 R2 将 10.0.2.0/24 引入 OSPF 
时 ， 将 其 度量 值 设置 为 10， 如 此 一 来 R3 经 过 计算 后 得 出 ， 到 达 10.0.2.0/24 的 外 部 路 
由 的 最 优 下 一 跳 应 该 为 R2， 因 为 相 比 之 下 这 条 路 径 的 度量 值 更 小 。 这 就 实现 了 本 案例 的 

R1 的 关键 配置 如 下 : 
“ # 枯 和 置 到 达 生产 及 办 公 服 务 器 网 段 的 静态 路 由 : 


[Rllip route-static 10.0.1 0 24 10.1.1.1 
Riip route-static 10.0.2.0 24 10.1.1.1 ， 
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# 配 置 ACL2000 及 ACL2001， 分 别 用 于 匹配 生产 及 办 公 服 务 器 路 由 : 
[Riljacl 2000 

[Rl-acl-basic-2000]rule permit source 10.0.1.0 0.0.0.0 
[R1-acl-basic-2000]quit 

[Rilacl 2001 

[R1-acl-basic-2001]rule permit source 10.0.2.0 0.0.0.0 
[R1-acl-basic-2001]quit 


# 配 置 Route-Policy henp， 该 Route-Policy 包含 两 个 节点 ， 分 别针 对 生产 及 办 公 \ 服 务 器 路 由 设置 不 同 的 度量 值 ， 
[R1l]route-policy henp permit node 10 

[Ril-route-policy]lif-match acl 2000 

[了 1-route-policy]apply cost 10 

[Rl-route-policy]Jquit 

[R1jroute-policy henp permit node 20 

[R1-route-policy]if-match acl 2001 

[Rl-route-policylapply cost 20 

[Rl-route-policy]quit 


# 将 静态 路 由 引入 OSPF， 并 且 调 用 Route-Policy henp: 
[Rllospf 1 
[Rl-ospf-1 limport-route static route-policy hcnp 


R2 的 关键 配置 如 下 : 


[R2]ip route-static 10.0.1.0 24 10.1.1.5 
[R2]ip route-static 10.0.2.0 24 10.1.1.5 


[R2]acl 2000 

[R2-acl-basic-2000]rule permit source 10.0.1.0 0.0.0.0 
[R2-acl-basic-2000]quit 

[R2]acl 2001 

[R2-acl-basic-2001]rule permit source 10.0.2.0 0.0.0.0 
[R2-acl-basic-2001]quit 


[R2]route-policy hcnp permit node 10 
[R2-route-policy]Jif-match acl 2000 
[R2-route-policy]apply cost 20 
[R2-route-policy]quit 
[R2]route-policy hcnp permit node 20 
[R2-route-policylif-match acl 2001 
[R2-route-policy]Japply cost 10 
[R2-route-policylquit 


[R2]ospf 1 


[R2-0spf-1 limport-route static route-policy henp 


完成 上 述 配 置 后 ， 首 先 查 看 一 下 R3 的 LSDB: 
[R3]display ospf lsdb 


OSPF Process 1 with Router ID 3.3.3.3 
Link State Database 


Area: 0.0.0.0 
Type LinkState ID AdvRouter 人 ge Len Sequence Metric 
Router pa dp a 9 36 80000005 1 


252 HCNP 路 由 交换 学 习 指 南 


Router 图 机 两 | 1.1.1.1 88 36 80000005 1 
Router 3.3.3.3 3:333 117 48 80000007 1 
Network 192.168.23.3 38.33 117 32 80000002 0 
Network 192.168.13.3 3 号 128 32 80000002 0 
AS External Database 
Type LinkState ID AdvRouter Age Len Sequence Metric 
External 10.0.2.0 1.1.1.1 88 36 80000001 20 
External 10.0.2.0 2.2.2.2 9 36 80000001 10 
External 10.0.1.0 1.1.1.1 88 36 80000001 10 


External 10.0.1.0 2.2,2,2 9 36 80000001 20 

从 R3 的 LSDB 中 大 家 能 观察 到 网 络 中 泛 洪 的 Type-5 LSA， 一 共存 在 四 条 ，R1 
(Router-ID 为 1.1.1.1) 及 R2 (Router-ID 为 2.2.2.2) 各 产生 两 条 Type-5 LSA。 

再 看 看 R3 的 路 由 表 : 

<R3>display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 
Destinations : 2 Routes :2 


OSPF routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.1.0/24 © ASE 150 10 D 192.168.13.1 GigabitEthernet0/0/0 


10.0.2.0/24 OASE 150 10 D 192.168.23,2 GigabitEthernet0/0/1 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


从 R3 的 路 由 表 可 以 看 出 ，10.0.1.0/24 这 条 OSPF 外 部 路 由 的 下 一 跳 为 192.168.13.1 
(R1)， 而 10.0.2.0/24 路 由 的 下 一 跳 为 192.168.23.2 (R2)， 这 是 符合 预期 的 。 


6.2.5 “案例 3: Route-Policy 在 双 点 双向 路 由 重 分 发 场景 中 的 部 署 


双 挟 双 同 路 由 重 分 发 是 一 种 经 典 的 路 由 模型 ， 在 大 型 网 络 中 时 常 能 见 到 它 的 部 彰 及 
应 用 。 单 点 路 由 重 分 发 指 的 是 在 两 个 路 由 域 之 间 的 一 台 边 界 设备 上 执行 路 由 重 分 发 的 场 
景 ， 这 种 场景 相对 人 简单， 然而 却 缺 乏 元 余 性 ， 一 旦 该 边界 设备 发 生 故 障 ， 那 么 该 设备 所 
连接 的 这 两 个 路 由 域 之 间 的 通信 可 能 就 会 出 现 问 题 。 关 于 双 点 双 同 路 由 重 分 发 ， 图 6-7 
展示 了 一 个 典型 的 案例 ， 这 是 某 企业 的 网 络 ，GD RI1、GD R2、GD SW1 及 GD _SW2 
是 该 企业 在 广东 省 公司 的 核心 网 设备 ， 这 儿 台 设备 运行 了 BGP。GZ SW1 及 GZ_SW?2 
是 广州 分 公司 的 设备 ， 与 省 公司 的 GD SW1 及 GD _ SW2 运行 OSPF。 

在 该 网 络 中 ，GD SW1 及 GD _ SW2 都 是 OSPF 与 BGP 路 由 域 的 边界 设备 。 为 了 将 
到 达 广州 分 公司 的 路 由 引入 BGP， 也 将 到 达 省 公司 的 路 由 引入 OSPF， 我 们 就 需要 在 
GD_SW1 及 GD_SW2 这 两 台 设 备 上 都 进行 路 由 重 分 发 的 操作 , 而 且 是 双 回 重 分 发 一 一 既 
将 OSPF 路 由 引入 BGP, 又 将 BGP 路 由 引入 OSPF, 这 就 是 所 谓 的 双 点 双向 路 由 重 分 发 。 
由 于 该 模型 中 存在 两 台 边界 设备 ， 而 且 这 两 台 设 备 都 执行 了 路 由 重 分 发 的 操作 ， 因 此 可 
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靠 性 更 高 。 

双 点 双向 路 由 重 分 发 虽然 增强 了 网 络 的 可 靠 性 ， 但 是 在 双 点 〈 两 台 边 界 设备 ) 上 执 
行 双 疝 路 由 重 分 发 后 ， 次 优 路 径 、 路 由 环 路 及 路 由 倒灌 等 问题 是 非常 容易 被 引发 的 ， 因 
此 遇 到 类 似 的 场景 时 需 格 外 小 心 。 当 然 ， 解 决 上 述 问题 的 方法 是 多 样 的 ， 接 下 来 我 们 将 
通过 一 个 简单 而 又 富有 代表 性 的 案例 来 讲解 双 点 双向 路 由 重 分 发 的 常用 解决 方案 。 

在 图 6-8 所 示 的 网 络 中 ，R1、R2 及 R3 运行 OSPF，R2、R3 及 R4 运行 RIPv2， 其 
中 R2 及 R3 处 于 两 个 路 由 域 的 边界 ， 它 们 同时 运行 OSPF 及 RIPV2。R1 将 直 连 路 由 
1.1.1.0/24 引入 OSPF 〈1.1.1.0/24 用 于 模拟 某 个 业务 网 段 )。 为 了 让 OSPF 域内 的 路 由 器 
能 学 习 到 RIP 域内 的 路 由 ， 也 为 了 让 RIP 域内 的 路 由 器 能 够 学 习 到 OSPF 域内 的 路 由 ， 
需要 在 R2 及 R3 上 部 署 双 同 的 路 由 重 分 发 。 要 求 完 成 配置 后 , -所 有 的 路 由 器 在 到 达 
1.1.1.0/24 时 ， 不 能 出 现 次 优 路 径 。 


1].1.1.1/24 





图 6-7” 双 点 双 回 路 由 重 分 发 模型 图 6-8 ” 双 点 双 同 路 由 重 分 发 案例 


1. -所 有 的 路 由 器 完成 基本 配置 
R1 的 配置 如 下 : 


[Rl]jacl 2000 
[Rl-acl-basic-2000]rule permit source 1.1.1.0 0.0.0.0 
[R1-acl-basic-2000]quit 


[Rllroute-policy hcnp permit node 10 
[Rl1-route-policy]if-match acl 2000 
[Rl-route-policy]Jquit 


[Rllospf 1 router-id 1.1.1.1 

[Rl1-ospf-1limport-route direct route-policy hcnp 
[Rl-ospf-l]jarea 0 

[Rl-ospf-l1-area-0.0.0.0Inetwork 192.168.12.0 0.0.0.255 
[Rl1-ospf-1-area-0.0.0.0]network 192.168.13.0 0.0.0.255 
R2 的 配置 如 下 : 

[R21]ospf 1 router-id 2.2.2.2 

[R2-0spf-1]area 0 

[R2-0spf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0]guit 
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[R2-ospf-1jquit 


[R2]jnp 1 

[R2-rp-1]version 2 

[R2-np-l1jundo summary 

[R2-rip-1 lnetwork 192.168.24.0 

R3 的 配置 如 下 : 

[R3]ospf 1 router-id 3.3.3.3 

[R3-ospf-llarea 0 

[R3-ospf-1-area-0.0.0.0]network 192.168.13.0 0.0.0.255 
[R3-ospf1-area-0.0.0.0]quit 

[R3-ospf-1]quit 


[R3jrip 1 

[R3-rip-1jversion 2 
[R3-rp-1jundo summary 
[R3-rip-l Inetwork 192.168.34.0 
R4 的 配置 如 下 : 

[R4]rnp 1 

[R4-rip-ljversion 2 
[R4-rp-1jundo summary 
[R4-rip-] |Inetwork 192.168.24.0 
[R4-np-1jnetwork 192.168.34.0 


2. 在 R2 及 R3 上 执行 双向 路 由 重 分 发 
R2 的 配置 如 下 : 

[R2]ospf 1 

[R2-ospf-l import-route rip 1 

[R2-ospf-1]quit 


[R2jrip 1 

[R2-rip-1]import-route ospf 1 

[R2-rip-1]quit 

R3 的 配置 如 下 : 

[R3]ospf 1 

[R3-ospf-1]imnport-route rip 1 

[R3]rip 1 

[R3-rip-1]import-route ospf 1 - 
完成 上 述 配置 后 ， 首 先 碍 看 R1 的 路 由 表 : 
<R1l>display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


一 -一 -一 一 一 一 一 一 一 -一 一 一 一 -一 一 一 一 一 一 一 一 :一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 :一 一 :一 一 一 一 一 一 一 一 


Public routing table : OSPF 
Destinations : 3 Routes :5 


OSPF routing table status : <Active> 


Destinations : 2 Routes : 4 
Destination/Mask Proto Pre | ‘Qost Flags NextHop Interface 
192.168.24.0/24 © ASE 150 1 D 192.168.13.3 GigabitEthernet0/0/1 
QASE i130 1 D 192.168.12.2 GigabitEthernet0/0/0 


192.168.34.0/24 OASE 1S0 1 D 192.168.13.3 GigabitEthernet0/0/1 
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OASE 150 1 D 192.168.12.2 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 


Destinations : 1 Routes: I 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
™ 
TO OAS °150° 1 192.168.12.2 GigabitEthernet0/0/0 


在 Ril 的 路 由 表 中 ，192.168.24.0/24 及 192.168.23.0/24 这 两 条 到 达 RIP 域 的 路 由 都 
在 R2 及 R3 这 两 个 下 一 跳 执 行 等 价 负 载 分 担 ， 这 是 很 合理 的 ， 因 为 R2 和 R3 都 执行 了 
RIP 到 OSPF 的 路 由 重 分 发 ， 而 且 引 入 进来 的 路 由 的 度量 值 相 等 ， 如 图 6-9 所 示 。 


1.1.1.1/24 


CEE NT 
. 





: 路 由 192.168.24.0/24 


路 由 192.168.24.0/24 
路 由 192.168.34.0/24 


路 由 192.168.34.0/24 ; 


ET 


. . 
EE (NCEA VCE 


R4 
图 6-9 将 RIP 路 由 引入 OSPF 


再 看 看 R4 的 路 由 表 : 
<R4>display ip routing-table protocol Trip 
Route Flags: R - relay, D - download to fib 
Public routing table : RIP 
Destinations : 3 Routes ; 5 
RIP routing table status : <Active> 
Destinations : 3 Routes :5 
Destination/Mask Proto Pre Cost Fiags NextHop Interface 
1.1.1.0/24 RIP 100 1 D 192.168.24.2 GigabitEthernet0/0/0 
192.168.12.0/24 © RIP 100 1 D 192.168.34.3 _ GigabitEthermet0/0/1 
RIP 100 1 D 192.168.24.2 GigabitEthernet0/0/0 
192.168.13.0/24 RIP 100 1 D 192.168.34.3 GigabitEthernet0/0/] 
RIP 100 1 D 192.168.24.2 GigabitEthernet0/0/0 


RIP routing table status : <Inactive> 
Destinations : 0 Routes :0 





、 此 时 R4 的 路 由 表 中 ，1.1.1.0/24 路 由 的 下 一 跳 可 能 是 R2， 也 可 能 是 R3， 这 取决 
于 设备 的 配置 顺序 。 
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合 看 R4 的 路 由 表 时 我 们 发 现 了 一 个 奇怪 的 现象 。 到 达 OSPF 域 的 路 由 192.168. 
12.0/24 及 192.168.13.0/24 的 确 是 出 现 了 等 价 负载 分 担 ， 这 很 好 理解 ， 但 是 1.1.1.0/24 这 
条 路 由 却 没 有 出 现 该 有 的 现象 ， 这 条 路 由 下 一 跳 只 是 R2， 那 么 R3 呢 ? 

到 R3 上 再 观察 一 下 路 由 表 : 


<R3>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 13 Routes : 13 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
1.1.1.0/24 RIP 100 2 D 192.168.34.4 GigabitEthernet0/0/1 
192.168.12.0/24 OSPF 10 2 D 192.168.13.1 GigabitEthernet0/0/0 
192.168.24.0/24 RIP 100 1 D 192.168.34.4 GigabitEthemet0/0/1 


从 以 上 输出 可 以 看 出 ，R3 的 路 由 表 中 1.1.1.0/24 路 由 竟然 来 源 于 RIP， 这 显然 是 有 
问题 的 , 因为 这 条 路 由 是 在 OSPF 中 发 布 的 , R3 到 达 该 目标 网 段 , 理应 优选 OSPF 路 由 ， 
下 一 跳 应 该 是 R1 才 合 理 。 然 而 此 时 R3 的 路 由 表 中 该 条 路 由 却 是 来 源 于 RIP， 而 且 下 一 
跳 为 R4， 这 恕 出 现 了 次 优 路 径 现 象 一 一 R3 转发 到 达 1.1.1.0/24 的 数据 时 ， 使 用 的 转发 路 
径 为 R4-R2-R1。 为 什么 会 出 现 这 样 的 现象 ? 为 什么 只 有 1.1.1.0/24 这 条 OSPF 外 部 路 由 
才 会 出 现 这 样 的 现象 ? 

在 华为 的 数 通 产 品 上 ，RIP 路 由 的 优先 级 值 是 100， 而 OSPF 路 由 有 两 个 优先 级 ， 其 
中 内 部 路 由 的 优先 级 值 为 10， 外 部 路 由 则 为 150。 接 下 来 回 到 本 案例 中 ， 首 先 看 看 RIP 
路 由 引入 OSPF 的 过 程 ， 初 始 情况 下 ，R2 和 R3 都 能 学 习 到 RIP 域内 的 路 由 并 将 其 加 载 
进 路 由 表 ， 这 些 路 由 的 优先 级 值 为 100。 当 RIP 路 由 被 R2 引入 OSPF 后 (假设 我 们 率先 
在 R2 上 完成 路 由 重 分 发 配置 , 然后 才 进 行 R3 的 配置 ), 它 在 OSPF 中 注入 相应 的 Type-5 
LSA，R3 将 收 到 这 些 LSA 并 且 进 行路 由 计算 。 当 然 ，R3 在 完成 配置 后 也 会 向 OSPF 注 
入 相应 的 Type-5 LSA， 而 R2 也 将 收 到 这 些 LSA 并 且 进 行路 由 计算 。 以 R3 为 例 ， 一 方 
面 它 会 从 RIP 学 习 到 去 往 192.168.24.0/24 的 路 由 ， 并 且 会 自动 发 现 直 连 路 由 192.168. 
34.0/24; 男 一 方面 ， 它 又 会 从 OSPF 学 到 (根据 R2 注入 的 Type-5 LSA 计算 得 到 ) 去 往 
这 两 个 网 段 的 路 由 。 对 于 192.168.34.0/24 路 由 ， 它 当然 优选 直 连 路 由 ， 而 对 于 
192.168.24.0/24 路 由 ， 此 时 它 会 比较 OSPF 外 部 路 由 ) 和 RIP 路 由 的 优先 级 ， 显 然 RIP 
路 由 的 优先 级 更 高 ， 因 此 到 达 RIP 域 中 这 两 个 网 段 的 路 由 ，R3 会 优选 直 连 路 由 以 及 从 
RIP 学 习 到 的 路 由 ， 这 是 合理 的 。R2 同 理 不 再 芍 述 。 所 以 在 R2 及 R3 上 将 RIP 路 由 引 
入 OSPF 并 不 会 引发 次 优 路 径 问 题 。 

再 来 分 析 从 OSPF 到 RIP 的 路 由 重 分 发 过 程 。 依 然 假设 R2 率先 完成 路 由 重 分 发 操 
作 , 我 们 首先 观察 一 下 R3 的 路 由 表 。 先 看 到 达 OSPF 域内 的 路 由 , 例如 192.168.12.0/24， 
R3 会 从 OSPF 学 习 到 去 往 该 网 段 的 路 由 ， 同 时 由 于 R2 将 OSPF 路 由 引入 了 RIP， 因 此 
R3 又 会 从 RIP 学 习 到 去 往 该 网 段 的 路 由 ， 它 将 比较 这 两 条 路 由 的 优先 级 ， 显 然 ，OSPF 
内 部 路 由 的 优先 级 更 高 ， 因 此 OSPF 内 部 路 由 在 该 场景 中 不 会 出 现 次 优 路 径 问 题 。 

再 来 看 看 OSPF 域外 路 由 1.1.1.0/24， 这 条 路 由 是 R1 重 分 发 到 OSPF 的 ，R3 能 够 通 
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过 OSPF 学 习 到 该 条 路 由 并 将 其 加 载 进 路 由 表 。 另 一 方面 ，R3 又 会 从 RIP 学 习 到 1.1.1.0/24 
路 由 (如 图 6-10 所 示 )， 这 就 出 问题 了 ， 因 为 RIP 路 由 的 优先 级 要 高 于 OSPF 外 部 路 由 ， 
因此 最 终 到 达 1.1.1.0/24，R3 会 优选 RIP 路 由 ， 这 样 次 优 路 径 问 题 也 就 出 现 了 。 


1.1.1.1/24 


PIIEETIEIEIIEEEEEEEEI I SE 







CTP TTT Tt tttr ttre tt et tt tt oreottttrtrte 1 R3 LS) OSPF 外 部 路 由 ] . ] 。 | .0/24 优先 级 150 
: RIP 路 由 1.1.1.0/24 优先 级 100 


TTT sys CT 


R4 
图 6-10 在 R3 上 出 现 了 次 优 路 径 现象 


3. 解决 次 优 路 径 问 题 

双 点 双 风 路 由 重 分 发 是 一 个 经 典 的 课题 ， 这 种 类 型 的 网 络 很 容易 出 现 路 由 环 路 或 者 
次 优 路 径 问题 。 解 决 的 方法 也 是 多 种 多 样 的 ， 本 节 将 为 大 家 展示 其 中 一 种 : 修改 路 由 优 
先 级 的 方案 。 方 案 的 核心 思想 是 在 R2 及 R3 上 ， 将 1.1.1.0/24 这 条 OSPF 外 部 路 由 的 优 
先 级 值 调节 得 比 RIP 路 由 的 优先 级 值 更 小 (例如 调整 为 99 )。 

首先 在 R2 及 R3 上 创建 一 个 ACL 用 于 匹配 1.1.1.0/24 路 由 ,然后 在 Route-Policy hcnp 
中 调用 该 条 ACL， 并 将 匹配 这 条 ACL 的 路 由 的 优先 级 值 设 置 为 9， 然后 在 OSPF 的 视 
图 下 使 用 preference 命令 调用 Route-Policy。OSPF 视图 下 的 preference ase 命令 用 于 修 
改 外 部 路 由 的 优先 级 。 

R2 的 配置 如 下 : 


[R2]acl 2000 
[R2-acl-2000]rule permit source 1.1.1.0 0.0.0.0 
[R2-acl-2000]quit 


[R2]route-policy henp permit node 10 
[R2-route-policy]if-match acl 2000 
[R2-route-policy]apply preference 99 
[R2-route-policy]quit 


[R2]ospf 1 

[R2-osp 人 1]preference ase route-policy henp 
R3 的 配置 如 下 : 

[R3]acl 2000 

[R3-acl-2000]rule permit source 1.1.1.0 0.0.0.0 
[R3-acl-2000]quit 


[R3]route-policy hcnp permit node 10 
[R3-route-policyl]if-match acl 2000 
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[R3-route-policy]apply preference 99 
[R3-route-policyjquit 


[R3]ospf 1 
[R3-ospf-1 Jjpreference ase route-policy hcnp 


完成 上 述 配置 后 ， 再 来 看 一 看 R2 的 路 由 表 : 


<R2>display ip routing-table 
Route Flags; R - relay, D - download to fib 


-一 :一 -- 一 一 -一 -一 一 一 一 一 一 一 一 -一 一 -一 :一 一 一 一 一 一 一 :一 -一 一 一 一 -一 -一 :一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 -一 一 一 一 


Routing Tables: Public 


Destinations : 13 Routes : 13 
Destination/Mask Proto Pre Cost 
11.1.0/24 © ASE 99 1 
192.168,12.0/24 Direct 0 0 
192.168.13.0/24 OSPF 10 2 
192.168.24.0/24 ”Direct 0 0 
192.168.34.0/24 RIP 100 1 


[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 13 Routes : 13 
Destination/Mask Proto Pre Cost 
1.1.1.0/24 © ASE 99 1 
192.168.12.0/24 OSPF 10 2 
192.168.13.0/24 Direct 0 0 
192.168.24.0/24 -RIP 1000 
192.168.34.0/24 “Direct 0 0 


Flags 


一 请- 时 = 是 = 放 一 


已 已 已 口 吕 


NextHop 


192.168.12.1 
192.168.12.2 
192.168.12.1 
192.168.24.2 
192.168.24.4 


NextHop 


192.168.13.1 
192.168.13.1 
192.168.13.3 
192.168.34.4 
192.168.34.3 


Interface 


GigabitEthernet0/0/0 
GigabitEthernet0/0/0 
GigabitEthernet0/0/0 
GigabitEthernet0/0/1 
GigabitEthermet0/0/]1 


Interface 


GigabitEthernet0/0/0 


GigabitEthernet0/0/0 
GigabitEthernet0/0/0 
GigabitEthernetO0/0/1 
GigabitEthernet0/0/1 


R2 及 R3 的 路 由 表现 在 恢复 正 汕 了， 此 时 R4 的 路 由 表 如 下 : 


<R4>display ip routing-table protocol rip 
Route Flags; R - relay, D - download to fib 


Public routing table : RIP 


Destinations :3 — Routes :6 
RIP routing table status : <Active> 

Destinations : 3 Routes :6 
Destination/Mask Proto Pre Cost 

1.1.1.0/24 RIP 100 1 

RIP 10 1 

192.168.12.0/24 RIP 100 1 

RIP 100 1 

192.168.13.0/24 RIP 100 1 

RIP 100 1 


= 用 同居- 县- 


Flags 


NextHop 


192.168.24.2 
192.168.34.3 
192.168.24.2 
192.168.34.3 
192.168.24.2 
192.168.34.3 


Interface 


GigabitEthernet0/0/0 
GigabitEthernet0/0/1 
GigabitEthernet0/0/0 
GigabitEthernet0/0/1 
GigabitEthernet0/0/0 
GigabitEthernet0/0/1 
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RIP routing table status : <Inactive> 
Destinations : 0 Routes:0 


6.2.6 ”案例 4: 使 用 Route-Policy 设置 路 由 标记 及 过 滤 带 标记 的 路 由 


路 由 标记 (Route Tag) 指 的 是 路 由 所 携带 的 一 种 标记 信息 ,,RIPv2、OSPF 以 及 IS-IS 
等 动态 路 由 协议 都 文 持 路 由 标记 。 在 本 书 的 “RIP” 一 章 中 ， 我 们 就 曾经 为 大 家 介绍 过 
路 由 标记 的 使 用 。 适 当地 利用 路 由 标记 ， 能 够 让 路 由 策略 的 执行 更 加 灵活 及 简便 。 

在 图 6-11 中 ，R1 通过 RIPv2 学 习 到 了 去 往 RIP 域 中 的 A、B 业务 网 段 的 路 由 ， 为 
了 让 OSPF 域内 的 路 由 器 能 够 学 习 到 去 往 这 些 业务 网 段 的 路 由 ，R1 将 其 路 由 表 中 的 RIP 
路 由 引入 了 OSPF。 现 在 R3 也 学 习 到 了 这 些 路 由 ， 由 于 IS-IS 域内 的 路 由 器 需要 访问 A 
业务 ,因此 网 络 管理 员 需 要 在 R3 上 部 轩 路 由 和 曹 分发, 将 OSPF 路 由 引入 IS-IS, 然而 IS-IS 
域内 的 路 由 器 并 不 需要 访问 B 业务 ,因此 没有 必要 将 到 达 B 业务 网 段 的 路 由 引入 。 使 用 
MA 记 可 以 轻松 erin 


eed ed Ede ee hd EE Pee chee hob cE ede AoE EEE Es A Dh Lh OE dD 






| RIPv2 站 OSPF Area0 :i IS-IS Area 49.0088 
: 和 E Level-1 

RI ;: R3 ;: RS 
: A 业务 10.1.1.0/24 i M4 
: 10.2.2.0/24 :; .到达 A 业务 网 段 的 路 由 tag=10 :: 不 将 到 达 B 业务 
: B 业务 11.1.1.0/24 :: 到 达 B 业务 网 段 的 路 由 tag=20 :: ”网 段 的 路 由 引入 
: 11.2.2.0/24 和 | 


OTTTITT TT 
EE TI 


图 6-11 使 用 Route-Policy 设置 路 由 标记 及 过 滤 带 标记 的 路 由 
R1 的 关键 配置 如 下 : 


[R1]jacl 2000 
’ [Rl1-acl-basic-2000]rule permit source 10.1.1.0 0 
[Rl-acl-basic-2000]rule permit source 10.2.2.0 0 
[Rl-acl-basic-2000]quit 
[Ri]acl 2001 
[Rl1-acl-basic-2001]rule permit source 11.1.1.00 
[Rl1-acl-basic-2001 ]rule permit source 11.2.2.00 
[R1-acl-basic-2001]quit 


[Rl1 lroute-policy hcnp permit node 10 
[R1-route-policyj]i 人 match acl 2000 
[Rl1-route-policy]apply tag 10 
[R1-route-policy]quit 
[Rll]route-policy henp permit node 20 
[Rl1-route-policylif-match acl 2001 
[R1-route-policy]apply tag 20 
[Rl-route-policy]guit 


[Rl1]ospf 1 
[有 R1-ospf-1]import-route rip route-policy henp 


在 以 上 配置 中 ，ACL2000 及 ACL2001 分 别 用 于 匹配 去 往 A 业务 网 段 及 B 业务 网 段 
的 路 由 。Route-Policy hcnp 中 包含 两 个 节点 , 节点 10 用 于 将 去 往 A 业务 网 段 的 路 由 设置 
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路 由 标记 〈 值 为 10)， 而 节点 20 则 用 于 将 去 往 B 业务 网 段 的 路 由 设置 路 由 标记 ( 值 为 
20)， 该 Route-Policy 在 R1 执行 路 由 重 分 发 时 被 调用 。 如 此 一 来 ，R1 将 加 OSPF 注入 描 
述 这 些 外 部 路 由 的 Type-5 LSA， 并 且 为 每 个 Type-5 LSA 设置 相应 的 外 部 路 由 标记 。 

R3 的 关键 配置 如 下 : 

[R3]route-policy hena deny node 10 

[R3-route-policy]Jif-match tag 20 

[R3-route-policy]quit 

[R3lroute-policy hcna permit node 20 = 

[R3-route-policy]quit 


a limport-route ospf 1 level-l route-policy hcna 

在 以 上 配置 中 ，Route-Policy hcna 包含 两 个 节点 ， 节 点 10 的 匹配 模式 为 deny， 该 节 
点 用 于 过 滤 路 由 标记 为 20 的 路 由 ， 而 节点 20 的 匹配 模式 为 permit， 该 节点 中 没有 定义 
任何 认 match 语句 ， 因 此 该 节点 用 于 将 其 他 所 有 路 由 放行 。 

完成 上 述 配置 后 ，R3 只 会 将 其 路 由 表 中 除了 路 由 标记 值 为 20 的 其 他 所 有 OSPF 路 
由 引入 IS-IS。 


6.3 Filter-Policy 


本 节 将 介绍 另外 一 款 用 于 路 由 过 滤 的 工具 Filter-Policy 〈 过 滤 - 策 略 )， 可 以 将 其 
视 为 一 种 路 由 过 滤器 。 图 6-12 展示 了 一 个 Filter-Policy 的 部 署 案例 。R1、R2 及 CO_SW 
运行 了 RIPv2，CO_SW 将 服务 器 集群 的 网 段 发 布 到 了 RIP 中 ， 并 将 路 由 通过 RIP 通告 
给 R1 及 R2， 初 始 情况 下 ，R1 及 R2 都 能 学 习 到 所 有 到 达 服 务 器 集群 网 段 的 路 由 。 现 在 
网 络 中 增加 了 一 个 需求 : 要 求 R1 下 联 的 PC 不 能 访问 服务 器 集群 中 的 192.168.2.0/24 网 
段 ， 但 是 仍 可 以 访问 其 他 服务 器 网 段 。 





服务 器 集群 


192.168.1.0/24 
192.168.2.0/24 
192.168.3.0/24 





图 6-12 在 CO SW 上 部 署 Filter-Policy 从 而 将 通告 给 R1 的 RIP 路 由 进行 过 泪 
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要 实现 上 述 需 求 其 实 有 多 种 方法 ，Filter-Policy 便 是 其 中 之 一 。 我 们 可 以 在 CO_SW 
上 上 部署 Filter-Policy， 将 其 通告 给 R1 的 RIP 路 由 进行 过 滤 ， 把 192.168.2.0/24 
新 中 过 滤 掉 ， 如 此 一 来 R1 将 无 法 再 通过 RIP 获知 到 达 192.168.2.0/24 的 路 由 ， 那 么 
用 户 也 就 无 法 再 通过 R1 访问 该 网 段 了 。 

需要 强调 的 是 ，Filter-Policy 只 能 够 对 路 由 信息 进行 过 滤 ， 而 无 法 对 LSA 进行 过 滤 。 
Filter-Policy 可 以 在 RIP、OSPF、IS-IS 以 及 BGP 等 常见 的 动态 路 由 协议 中 应 用 。 学 习 完 
本 市 之 后 ， 我 们 应 该 能 够 : 

e 理解 Filter-Policy 的 工作 原理 及 使 用 场景 ; 

e 掌握 Filter-Policy 在 RIP 中 的 应 用 ; 

。 掌握 Filter-Policy 在 OSPF 中 的 应 用 。 


6.3.1 案例 1: Filter-Policy 对 RIP 发 送 的 路 由 进行 过 渡 


Filter-Policy ee 在 RIP 中 应 用 时 能 够 很 好 地 执行 路 由 过 滤 。 在 
图 6-13 所 示 的 网 络 中 ，R1、R2 及 R3 运行 了 RIPv2， 初 始 情况 下 ，R2 能 够 学 习 到 192. 
168.1.0/24、192.168.2.0/24 192.168.3.0/24 这 三 条 RIP 路 由 ， 而 R3 也 能 够 通过 RIP 学 
习 到 这 三 条 路 由 ， 此 外 还 会 学 习 到 192.168.12.0/24 路 由 。 现 在 希望 禁止 R3 通过 RIP 学 
习 到 192.168.2.0/24 路 由 ， 我 们 可 以 在 R2 上 部 署 Filter-Policy， 将 192.168.2.0/24 路 由 从 
通告 给 R3 的 路 由 中 过 滤 挥 。 


-路面 T921682. 0124 


PRON 路 由 1322.168.3.0124 | 
Ef 路 由 192.168.12.0/24 | : 





1 
192.168.12.0/24 
GE0O/0/0 


: 192.168.1.0/24 
: 192.168.2.0/24 
: 192.168.3.0/24 






GEO/0/1 





和 


图 6-13 ”使 用 Filter-Policy 对 RIP 发 送 的 路 由 进行 过 渡 


R2 的 配置 如 下 : 

# 创 建 ACL2000， 用 于 匹配 路 由 : 

[R2]acl 2000 
[R2-acl-basic-2000jrule deny source 192.168.2.0 0.0.0.0 a 
[R2-acl-basic-2000]rule permit 

[R2-acl-basic-2000]quit 


#| RIP 发 送 的 路 由 进行 过 滤 : 

[R2jrip 1 

[R2-rip-I]filter-poficy 2000 export GigabitEthernet 0/0/] 

在 上 述 配置 中 ， 我 们 创建 了 ACL2000， 在 这 个 ACL 中 ， 首 先 定义 了 一 条 拒绝 192. 
168.2.0 的 规则 ， 随 后 又 定义 了 一 条 允许 所 有 的 规则 ， 因 此 该 ACL 将 用 于 匹配 除了 


192.168.2.0 之 外 的 其 他 路 由 。 在 RIP 配置 视图 中 的 他 ter-policy 命令 对 RIP 发 送 的 路 由 
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进行 过 滤 。Filter-policy 2000 export GigabitEthernet 0/0/1 这 条 命令 将 对 R2 从 GE0/0/1 
接口 发 送 的 路 由 更 新 执行 过 滤 ， 过 滤 时 调用 ACL2000， 只 有 被 该 ACL 人 允许 的 路 由 能 够 

由 于 在 R2 上 所 配置 的 Filter-Policy 是 部 着 在 export〈 出 ) 方 同 ， 因 此 路 由 过 滤 的 执 
行 不 会 对 R2 自身 产生 影响 ， 但 其 发 送 给 R3 的 路 由 更 新 中 ， 将 不 再 包含 192.168.2.0/24 
路 由 。 

此 时 R2 的 路 由 表 如 下 : 

<R2>display ip routing-table protocol rip 

Route Flags: R - relay, D - download to fib 


一 TC 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table : RIP 
Destinations ; 3 Routes: 3 


RIP routing table status : <Active> 


Destinations ; 3 Routes : 3 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.1.0/24 -RIP 100 1 D 192.168.12.1 GigabitEthernet0/0/0 
192.168.2.0/24 RIP 100 1 D 192.168.12.1 GigabitEthernet0/0/0 
192.168.3.0/24 RIP 100 1 D 192.168.12.1 GigabitEthernet0/0/0 


RIP routing table status : <Inactive> 
Destinations : 0 Routes :0 

R3 的 路 由 表 如 下 : 

<R3>display ip routing-table protocol rip 

Route Flags: R - relay, D - download to fib 


Public routing table : RIP 
Destinations : 3 Routes : 3 


RIP routing table status : <Active> 


Destinations : 3 Routes : 3 
Destination/Mask Proto Pre Cost Flags NextHop -JInterface 
192.168.1.0/24 “RIP 100 2 D 192.168.23.2 GigabitEthernet0/0/0 
192.168.3.0/24 _RIP 100 2 D 192.168.23.2 GigabitEthernet0/0/0 
192.168.12.0/24 RIP 100 1 D 192.168.23.2 GigabitEthernet0/0/0 


RIP routing table status : <Inactive> 
Destinations : 0 Routes :0 


从 上 述 输出 可 以 看 到 ，R3 的 路 由 表 中 ，192.168.2.0/24 路 由 并 不 存在 。 

在 使 用 Filter-Policy 对 RIP 发 送 的 路 由 进行 过 滤 时 ， 可 以 关联 出 接口 ， 从 而 实现 基 
于 接口 的 路 由 过 滤 ， 一 个 接口 只 能 配置 一 个 Filter-Policy， 如 果 不 指定 接口 ， 则 被 视 为 全 
局 策略 ， 也 就 是 说 ， 该 过 滤器 将 对 所 有 接口 生效 。 在 flter-policy 命令 中 ， 还 可 以 关联 协 
议 参 数 ， 用 于 指定 被 引入 的 外 部 路 由 的 类 型 。 

在 图 6-14 中 ，R1 连接 着 三 个 路 由 域 : OSPF、IS-IS 及 RIPvV2。R1 将 OSPF 及 IS-IS 
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路 由 引入 了 RIP。 现 在 我 们 希望 通过 在 R1 上 部 署 Filter-Policy， 将 其 从 OSPF 引入 RIP 
的 路 由 进行 过 滤 ， 把 192.168.11.0/24 和 192.168.12.0/24 这 两 条 路 由 过 滤 掉 。 





图 6-14 在 Filter-Policy 攻 命令 中 指定 协议 类 型 
R1 的 关键 配置 如 下 : 


， # 创 建 ACL2000: 
[Rilacl 2000 = 
[R1-acl-basic-2000]rule aa source 192.168. 11 .00 
[R1-acl-basic-2000]rule deny source 192.168.12.0 
[R1-acl-basic-2000]rule permit . 
Des ee OO 


# 将 OSPF 及 IsJIs 路 由 引入 RIP, ， RIP 发 送 的 路 由 进行 过 滤 : 
[R1]rip 1 
[R1-rip-l]import-route Gepfl 
[Rl-rip-lJimport-route isis1 
[Rl1-rip-1 Jfilter-policy 2000 export ospf 1 


在 以 上 配置 中 ，flter-policy 2000 export ospf 1 这 条 命令 的 含义 是 ， 按 照 ACL2000 
所 定义 的 规则 ,将 RI 从 OSPF 进程 1 引入 RIP 的 外 部 路 由 执行 路 由 过 滤 , 只 有 被 ACL2000 
的 规则 允许 的 OSPF 路 由 才 会 被 顺利 发 布 到 RIP。 


6.3.2 ”案例 2: Filter-Policy 对 RIP 接收 的 路 由 进行 过 滤 


Filter-Policy 的 男 一 种 使 用 场景 是 对 设备 接收 的 路 由 进行 过 滤 。 在 路 由 器 上 部 轩 
Filter-Policy 对 RIP 接 收 的 路 由 进行 过 滤 时 , 过滤 的 结果 将 直接 对 该 路 由 器 上 自身 产生 影响 ， 
不 仅 如 此 ， 还 会 影响 到 它 的 下 游 路 由 右 。 以 图 6-15 所 示 的 网 络 为 例 ，R1、R2 及 R3 均 
运行 了 RIPv2， 初 始 情况 下 ， 三 台 路 由 器 都 能 够 获知 到 达 全 网 的 路 由 。 现 在 网 络 的 需求 
是 不 希望 R2 再 从 R1 学 习 到 RIP 路 由 192.168.2.0/24， 则 R2 可 使 用 如 下 配置 。 

# 创 建 ACL2000; 

[R2]acl 2000 

[R2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.0 


[R2-acl-basic-2000]rule permit 
[R2-acl-basic-2000]quit 


# 对 RIP 接收 的 路 由 进行 过 滤 ， 
[R2]rip 1 
[R2-rip-1]filter-policy 2000 import GigabitEthemet 0/0/0 
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R3 的 路 由 表 
R2 的 路 由 表 
_ T971682.024_ 


OO ed | 
192.168.3.0/24 192 168 12.0/24 
: 192.168.1.0/24 RD 


: RI R2 : 
: 192.168.12.0/24 : 
: 192.168.3.0/24 GE0O/0/0 : 


ET 


图 6 6-15 使 和 Filter-Policy 对 RIP 接收 的 路 由 进行 过 滤 


在 以 上 配置 中 ，filter-policy 2000 import GigabitEthernet 0/0/0 命令 的 含义 是 ， 按 照 
ACL2000 所 定义 的 规则 ， 对 R2 从 GE 0/0/0 接口 所 收 到 的 RIP 路 由 进行 过 滤 ， 只 有 被 
ACL2000 允许 的 RIP 路 由 才 会 被 R2 加 载 到 路 由 表 ， 此 时 R2 的 路 由 表 如 下 。 


<R2>display ip routing-table protocol rip 
Route Flags: R - relay, D - download to fib 


Public routing table : RIP 
Destinations : 2 Routes : 2 


RIP routing table status : <Active> 


Destinations : 2 Routes ; 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.1.0/24 RIP 100. = D 192.168.12.1 GigabitEthernet0/0/0 
‘192.168.3.0/24 RIP 100 ”1 D 192.168.12.1 GigabitEthernet0/0/0 


RIP routing table status : <Inactive> 
Destinations : 0 Routes:0 


另外 ， 由 于 RIP 是 距离 矢量 路 由 协议 ， 运 行 RIP 的 路 由 器 将 日 己 的 路 由 表 中 的 RIP 
路 由 通告 给 其 他 直 连 路 由 器 ， 因 此 当 192.168.2.0/24 路 由 在 R2 的 路 由 表 中 消失 后 ，R2 
也 就 不 再 通告 该 路 由 给 R3, 所 以 在 R2 上 部 区 的 该 人 lter-policy 命令 还 会 导致 R3 无 法 学 
习 到 192.168.2.0/24 路 由 。 


6.3.3 ”案例 3: Filter-Policy 对 于 向 OSPF 发 布 的 路 由 进行 过 滤 


当 路 由 器 将 外 部 路 由 引入 OSPF 时 ， 可 以 使 用 Filter-Policy 对 引入 的 路 由 在 癌 OSPF 
发 布 前 进行 过 滤 。 如 此 一 来 ， 该 路 由 器 只 会 将 未 被 过 滤 的 路 由 引入 OSPF。Filter-Policy 
对 于 向 OSPF 发 布 的 路 由 进行 过 滤 只 适用 于 上 述 场景 ， 如 果 在 OSPF 域内 的 路 由 器 上 执 
行 Filter-Policy， 试 图 对 于 加 OSPF 发 布 的 区 域内 或 者 区 域 间 路 由 进行 过 滤 ， 这 是 无 法 生 
效 的 ， 因 为 OSPF 区 域内 部 路 由 、 区 域 间 路 由 的 计算 是 通过 Type-1、Type-2 及 Type-3 
LSA 来 完成 的 ， pe 无 法 对 何 OSPF 发 布 的 LSA 进行 过 滤 。 

在 图 6-16 中 ，R1、R2 及 R3 运行 了 OSPF。R1 将 三 条 外 部 路 由 引入 OSPF， 初始 情 
况 下 ，OSPF 域内 a 到 这 三 条 外 部 上 路由。 现在， 我 们 希望 R1 在 引入 外 
部 路 由 时 , 不 向 OSPF 域 通告 172.16.2.0/24 路 由 , 这 可 以 通过 在 R1 上 部 署 Filter-Policy 
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实现 。 
R1 向 OSPF 发 布 的 外 部 路 由 


172.16.1.0/24 






Q124 


EE 








4 : :| 172.163.0/24 
R1 路 由 表 中 的 静态 路 由 RI: R2 R3 
172.16.1.0/24 192.168.12.0/24 GEO/0/] 
172.16.2.0/24 





172.16.3.0/24 
OSPF Area0 


EE 


图 6-16 ”Filter-Policy 对 OSPF 发 布 的 路 由 进行 过 滤 


R1 的 关键 配置 如 下 : 
[R1jacl 2000 
[Rl1-acl-basic:2000]rule deny source 172.16.2.0 0.0.0.0 
[R1-acl-basic-2000]rule permit 
~ [R1-acl-basic-2000]guit 


[R1]jospf 1 
[R1-ospf1ljimport-route static 
[R1-ospf-1 Jfilter-policy 2000 export 
完成 上 述 配 置 后 ，R2 的 路 由 表 如 下 : 
<R2>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 
Public routing table : OSPF 
Destinations : 2 ” Routes:2 


OSPF routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost ~ Flags NextHop Interface 
172.16.1.0/24 OASE 150 1 D 192.168.12.1 GigabitEthernet0/0/0 
172.16.3.0/24 OASE 10- 1 D 192.168.12.1 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


R2 的 路 由 表 中 ，172.16.2.0/24 这 条 OSPF 外 部 路 由 已 经 消失 了 ， 实 际 上 这 是 由 于 
R1 部 闭 了 出 方向 〈Export) 的 Filter-Policy 后 ，R1 不 再 产生 描述 这 条 外 部 路 由 的 Type-5$ 
_LSA， 因 此 整个 OSPF 域内 的 路 由 器 都 不 会 学 习 到 这 条 外 部 路 由 。 

需要 再 次 强调 的 是 ， 如 果 不 在 R1 上 部 署 Filter-Policy， 而 是 等 待 R1 将 外 部 路 由 引 
入 OSPF 之 后 , 在 R2 上 部 署 出 方向 的 Filter-Policy， 试 图 使 R3 无 法 学 习 到 172.16.2.0/24 
路 由 ， 这 是 无 法 实现 的 。 正 如 前 文 所 述 ，Filter-Policy 无 法 对 LSA 进行 过 滤 ， 当 外 部 路 
由 被 R1 引入 OSPF 时 ，R1 将 在 OSPF 域内 注入 Type-5 LSA 用 于 描述 这 些 外 部 路 由 ， 因 
此 在 R2 上 执行 出 方 问 的 Filter-Policy 试图 对 这 些 外 部 路 由 进行 过 滤 是 行 不 通 的 ，Type-5 
LSA 依然 会 被 R3 接收 ， 而 后 者 依然 能 够 计算 出 外 部 路 由 。 
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6.3.4 案例 4: Filter-Policy 对 OSPF 接收 的 路 由 进行 过 滤 


Filter-Policy 除了 能 够 对 于 同 OSPF 发 布 的 路 由 进行 过 滤 ， 也 能 够 对 OSPF 接收 的 路 
由 进行 过 滤 。 大 家 已 经 知道 ，LSA 是 OSPF 用 于 路 由 计算 的 关键 信息 ， 一 台 OSPF 路 由 
器 会 把 网 络 中 所 泛 洪 的 LSA 存储 到 自己 的 LSDB 中 ， 并 且 运 行 SPF 算法 ， 计 算出 一 棵 
以 目 己 为 根 的 、 无 环 的 最 短路 径 树 ， 进 而 计算 出 到 达 网 络 中 各 个 网 段 的 路 由 ， 我 们 可 以 
在 路 由 右 将 所 计算 出 来 的 OSPF 路 由 加 载 进 路 由 表 之 前 ， 对 路 由 进行 过 滤 。 需 要 强调 的 
是 ，Filter-Policy 是 对 OSPF 计算 出 来 的 路 由 (被 加 载 到 路 由 表 之 前 ) 进行 过 滤 ， 而 不 是 
对 LSA 进行 过 小 。 

在 图 6-17 中 ，R1、R2 及 R3 运行 了 OSPF。 在 初始 情况 下 ，R2 的 路 由 表 中 会 出 现 
192.168.1.0/24、192.168.2.0/24 及 192.168.3.0/24 这 三 条 OSPF 区 域内 部 路 由 ，R3 的 路 由 
表 中 除了 有 上 述 三 条 路 由 外 , 还 有 192.168.12.0/24 路 由 。 现在 网 络 的 需求 是 不 希望 在 R2 
的 路 由 表 中 出 现 192.168.2.0/24 这 条 路 由 , 这 可 以 通过 在 R2 上 部 筑 入 方 问 的 Filter-Policy 
来 实现 。 


R3 的 路 由 表 
R2 的 嘟 由 表 










AL essees 





: 192.168.3.0/24 


RI 
人 192 168 12024 Re | 
: 192.168.2.0/24 es 


OSPF Area0 


图 6-17 使 用 Filter-Policy 对 OSPF 接收 的 路 由 进行 过 滤 


[R2]acl 2000 

[R2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.0 
[R2-acl-basic-2000]rule permit 

[R2-acl-basic-2000]quit 


[R2jospf 1 
[R2-0spf-1 |]filter-policy 2000 import 


完成 上 述 配置 后 ，R2 的 路 由 表 如 下 : 


<R2>display ip routing-table protocol ospf 


号 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table ; OSPF 
Destinations : 2 Routes: 2 


OSPF routing table status : <Active> Ek 
Destinations : 2 Routes 3 


Destination/Mask Proto Pre Cost Flags NextHop Interface 


192.168.1.0/24 OSPF 10 1 D 192.168.12.1 GigabitEthernet0/0/0 
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192.168.3.0/24 -OSPF 10 1 D 192.168.12.1 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 
Destinations ; 0 Routes ; 0 


从 R2 的 路 由 表 可 以 观察 到 ，192.168.2.0/24 路 由 已 经 被 过 滤 了 。 但 是 此 时 在 R2 的 
LSDB 中 ， 还 是 存储 看 相关 的 LSA 的 。 实 际 上 ，R2 是 通过 Rl 产生 的 Type-1 LSA 来 计 
算 到 达 192.168.2.0/24 的 路 由 的 ， 当 R2 使 用 Filter-Policy 对 其 接收 的 OSPF 路 由 进行 过 
滤 时 ， 是 无 法 阻挡 LSA 加 载 进 R2 的 LSDB 以 及 传递 给 R3 的 。 

在 R2 上 使 用 display ospf lsdb router 1.1.1.1 命令 能 够 查看 R1 产生 的 Type-1 LSA， 
从 输出 的 结果 可 以 看 到 ，R2 执行 的 路 由 过 滤 并 未 对 LSA 造成 影 啊 。 


<R2>display ospf lsdb router 1.1.1.1 ~ 


OSPF Process 1 with Router ID 2.2.2.2 


Area: 0.0.0.0 
Link State Database 
Type : Router 
Ls id ey ip oh | 
A 二 和 
Ls age :92 
Len :2 
Options"” : 
Seq# : 80000012 
chksum :0xlac0 
Link count: 4 


* Link ID: 192.168.12.1 
Data :192.168.12.1 
Link Type: TransNet 
Metric :1 

* Link ID: 192.168.1.0 
Data , "57355255,0 

_ Link Type : StubNet 
Metric :0 
Priority :Low 

* Link ID: 192.168.2.0 
Data :255,.255.255.0 
Link Type :StubNet 
Metric : 0 
Priority : Low 

* Link ID : 192.168.3.0 
Data :255.255,255.0 
Link Type : StubNet 
Metric :0 
Priority :Low 


再 看 看 R3 的 路 由 表 : 


<R3>display ip routing-table protocol ospf 


ed 


Public routing table : OSPF 
Destinations ; 4 Routes :4 
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OSPF routing table status : <Active> 


Destinations : 4 Routes : 4 
Destination/Mask Proto Pre™ Cost .Flags NextHop Interface 
192.168.1.0/24 OSPF 1 二 以 D 192.168.23.2 GigabitEthernet0/0/0 
192.168.2.0/24 -OSPF 10 2 D 192.168.23.2 GigabitEthernet0/0/0 
192.168.3.0/24 OSPF 10 2 D 192.168.23.2 GigabitEthernet0/0/0 
192.168.12.0/24 OSPF 0 D 192.168.23.2 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes : 0 


由 于 R3 依然 能 够 收 到 R1 发 送 的 Type-1 LSA， 因 此 能 够 计算 出 到 达 192.168.2.0/24 
的 路 由 。 

再 来 看 看 另外 一 种 场景 。 图 6-18 展示 了 修改 后 的 网 络 ，R1 及 R2 在 Area0 中 建立 邻 
接 关 系 , 而 R2 及 R3 则 在 Areal 中 建立 邻接 关系 。 初 始 情况 下 , R2 能 够 通过 Rl 在 Area0 
内 泛 洪 的 Type-1 LSA 计算 出 到 达 192.168.1.0/24、192.168.2.0/24 以 及 192.168.3.0/24 的 
区 域内 路 由 ， 如 果 不 希 望 R2 的 路 由 表 中 出 现 192.168.2.0/24 路 由 ， 则 可 在 R2 上 执行 入 
方 回 的 Filter-Policy。 完 成 配置 后 ，R2 的 路 由 表 中 将 不 会 出 现 192.168.2.0/24 路 由 ， 然 而 
由 于 到 达 该 网 段 的 路 由 不 可 达 ， 因 此 R2 不 会 将 搞 述 192.168.2.0/24 路 由 的 Type-3 LSA 
注入 Areal, 如 此 一 来 , R3 也 就 无 法 学 习 到 区 域 间 路 由 192.168.2.0/24。 从 这 个 层面 上 看 ， 
OSPF 区 域 间 路 由 的 传递 过 程 与 距离 矢量 路 由 协议 十 分 相似 。 


本 
. 


RI R2 

192:168.1.0/24 下 
92.168.12.0/24 : 

192.168.2.0/24 i : 
192.168.3.0/24 


Area0 | : Areal 





EIT 


图 6-18 使 用 Filter-Policy 对 OSPF 接收 的 路 由 进 行 过 滤 时 ， 对 区 域 间 路 由 的 传递 产生 的 影响 


6.4 ”IP 前 缀 列表 


前 面 的 章节 已 经 问 大 家 介绍 了 两 种 币 用 的 路 由 策略 工具 ， 使 用 Route-Policy 能 够 在 
执行 路 由 重 分 发 时 过 滤 路 由 信息 ， 或 者 修改 路 由 属性 ， 而 Filter-Policy 也 能 够 完成 路 由 
过 滤 的 任务 。 当 然 无 论 是 采用 何 种 工具 ， 在 执行 路 由 策略 时 ， 首 先 需 要 将 “ 感 兴趣 ”的 
路 由 匹配 出 来 ， 或 者 说 区 分 出 来 ， 只 有 这 样 ， 才 能 够 有 针对 性 地 进行 路 由 属性 修改 或 者 
路 由 过 滤 。 本 章 之 前 所 介绍 的 所 有 路 由 策略 的 案例 中 , 均 使 用 ACL 来 完成 路 由 匹配 的 任 
务 。ACL 确实 能 够 在 许多 场合 胜任 这 个 工作 ， 但 也 存在 缺陷 ， 它 只 能 够 匹配 路 由 条 目 中 
的 目的 网 络 地 址 ， 而 无 法 匹配 路 由 的 目的 网 络 掩 人 码 。 图 6-19 所 示 的 案例 可 以 很 好 地 说 明 
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ACL 的 这 个 缺陷 。 

R3 与 R1 及 R2 建立 IS-IS 邻接 关系 ， 并 通过 IS-IS 学 习 到 数 条 路 由 ， 图 6-19 展示 了 
R3 路 由 表 中 的 IS-IS 路 由 。 现 在 为 了 让 OSPF 域内 的 路 由 器 能 够 通过 OSPF 学 习 到 这 些 
路 由 ，R3 将 其 路 由 表 中 的 IS-IS 路 由 引入 OSPF。 然 而 我 们 希望 R3 在 路 由 引入 的 过 程 中 ， 
过 滤 挥 172.16.0.0/16 这 条 路 由 ， 您 可 能 已 经 想到 ， 使 用 Route-Policy 可 以 解决 这 个 问题 。 


RI IS-IS R2 
Area 49.0001 





图 6-19 ”使 用 ACL 匹配 感 兴 趣 路 由 时 存在 的 缺陷 
R3 的 配置 可 能 像 下 面 这 样 : 


[R3]acl 2000 

[R3-acl-2000]rule deny source 172.16.0.0 0.0.0.0 
[R3-acl-2000]rule permit 

[R3-acl-2000]quit 


[R3]route-policy henp permit node 10 
[R3-route-policy]if-match acl 2000 
“{R3-route-policy]quit 

[R3]ospf 1 

[R3-ospf-1]import-route isis route-policy hcnp 

然而 在 完成 上 述 配置 后 ，IS-IS 路 由 172.16.0.0/24 及 172.16.0.0/16 都 没有 被 引入 
OSPF， 也 就 是 说 ， 这 两 条 路 由 都 被 Route-Policy 过 滤 掉 了 。 这 显然 与 需求 是 不 相符 的 。 
之 所 以 出 现 这 样 的 问题 , 是 因为 ACL 只 能 用 于 匹配 路 由 的 目的 网 络 地 址 , 而 对 于 目的 网 
络 措 人 码 的 匹配 是 无 能 为 力 的 ， 因 此 目的 网 络 地 址 为 172.16.0.0 的 路 由 ， 无 论 目 的 网 络 掩 
码 如 何 ， 都 会 被 ACL 规则 rule deny source 172.16.0.0 0.0.0.0 所 匹配 。 

有 些 读 者 在 验证 本 案例 时 ， 可 能 会 采用 下 面 的 方式 书写 这 个 ACL。 

[R3]acl 2000 

[R3-acl-2000]mrule deny source 172.16.0.0 0.0.0.255 

[R3-acl-2000]rule permit 

需要 注意 的 是 ， 这 种 写法 其 实 是 不 严谨 的 ， 再 次 强调 一 下 ，ACL 只 能 匹配 路 由 的 目 
的 网 络 地 址 ， 因 此 上 述 配 置 中 ，rule deny source 172.16.0.0 0.0.0.255 这 条 规则 实际 上 [ 匹 
配 的 路 由 数量 更 多 了 ， 它 不 仅仅 是 将 目的 网 络 地 址 为 172.16.0.0 的 路 由 匹配 住 了 ， 实 际 
上 目的 网 络 地 址 的 前 三 个 八 位 组 为 172.16.0 (最 后 一 个 八 位 组 可 以 是 任意 值 ) 的 路 由 都 
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会 被 该 ACL 匹配 住 。 

无 论 如 何 ，ACL 作为 一 个 路 由 匹配 工具 ， 只 能 在 一 些 较为 简单 的 路 由 环境 中 使 用 ， 
当面 对 更 加 复杂 的 路 由 匹配 需求 时 ， 我 们 会 考虑 男 一 个 工具 ， 那 就 是 卫 前 级 列表 (IP 
Prefix List)， 学 习 完 本 节 之 后 ， 我 们 应 该 能 够 。 

。 理解 IP 前 级 列表 的 工作 原理 及 使 用 场景 ; 

。 掌握 IP 前 级 列表 的 基础 配置 。 


6.4.1 IP 前 缀 列表 的 基本 概念 


从 名 字 上 看 , IP 前 级 列表 是 一 个 列表 形态 的 工具 。 它 所 匹配 的 对 象 是 IP 地 址 前 级 ， 
也 就 是 路 由 条 目 。 一 个 路 由 条 目 由 目的 网 络 地 址 (也 被 称 为 IP 前 级 ) 及 掩 人 码 长 度 (也 
被 称 为 前 级 长 度 ) 共同 标识 。 使 用 ACL 从 一 批 路 由 中 筛选 出 感 兴趣 的 路 由 时 ， 是 无 法 
指定 被 匹配 对 象 的 目的 网 络 掩 码 长 度 的 ， 但 是 IP 前 级 列表 却 可 以 做 到 ， 它 除了 能 够 指 
定 被 匹配 对 象 的 目的 网 络 地 址 ， 还 能 指定 目的 网 络 掩 码 长 度 ， 从 而 实现 对 路 由 的 精确 
匹配 。 

图 6-20 展示 了 一 个 简单 的 IP 前 级 列表 的 示例 。IP 前 级 列表 可 以 包含 一 条 或 多 条 语 
句 ， 每 条 语句 都 使 用 一 个 十 进 制 的 序号 (Index) 进行 标识 。 在 本 例 中 ， 这 个 名 称 为 abcd 
的 卫 前 级 列表 中 只 有 一 条 语句 ， 这 条 语句 的 序号 为 10， 正 如 前 面 所 说 ， 您 可 以 为 一 个 
IP 前 级 列表 创建 多 条 语句 ， 每 条 语句 使 用 不 同 的 序号 ， 所 有 的 语句 按照 序号 从 小 到 大 依 
序 排列 ， 这 与 ACL 非常 类 似 。 


ip ip-prefix abcd index 10 permit 172.716.0.0 16 


指定 IP 地 址 指定 掩 码 长 度 
图 6-20 一 个 简单 的 IP 前 级 列表 示例 


在 本 例 中 ,这 条 IP 前 级 列表 的 语句 中 指定 了 IP 地 址 (172.16.0.0) 以 及 掩 码 长 度 (16)， 
如 此 一 来 ， 该 语句 就 精确 地 匹配 了 路 由 172.16.0.0/16。 了 P 前 级 列表 除了 能 够 精确 匹配 一 
条 路 由 ， 还 能 够 匹配 一 组 有 规律 的 路 由 。 

图 6-21 展示 了 卫 前 缀 列表 的 另 一 个 示例 ， 该 示例 中 增加 了 greater-equal (大 于 或 
等 于 ) 及 less-equal (小 于 或 等 于 ) 这 两 个 关键 字 及 参数 ， 从 而 指定 了 掩 码 长 度 的 范围 。 
这 条 命令 要 求 路 由 的 目的 网 络 地 址 的 前 16 个 比特 位 与 172.16.0.0 的 前 16 个 比特 位 相同 。 
另外 路 由 的 目的 网 络 掩 码 长 度 需 大 于 或 等 于 24,， 同 时 小 于 或 等 于 32。 只 有 满足 上 述 条 件 
的 路 由 才 会 被 该 语句 匹配 。 

如 果 一 条 语句 中 只 是 指定 了 greater-equal 关键 字 〈 且 没有 指定 less-equal 关键 字 )， 
则 掩 码 长 度 的 范围 是 大 于 或 等 于 greater-equal 关键 字 所 指定 的 值 ， 同 时 小 于 或 等 于 32。 
而 如 果 只 是 指定 了 less-equal 关键 字 〈( 且 没有 指定 greater-equal 关键 字 )， 则 掩 码 长 
度 的 范围 是 大 于 或 等 于 命令 中 指定 的 掩 码 长 度 ， 同 时 小 于 或 等 于 less-equal 关键 字 指 
定 的 值 。 

当 一 个 卫 前 级 列表 开始 进行 路 由 匹配 时 , 将 从 序号 最 小 的 语句 开始 依 序 匹配 ， 如 果 
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路 由 不 满足 该 语句 中 的 条 件 ， 则 继续 匹配 下 一 个 语句 。 只 要 满足 当前 语句 ， 便 不 再 继续 
匹配 后 续 的 语句 ， 被 当前 语句 匹配 住 的 路 由 ， 将 根据 该 语句 所 定义 的 匹配 模式 〈Permit 
或 Deny) 判断 是 否 被 允许 通过 ，Permit 为 允许 ，Deny 为 拒绝 。 男 外 ， 在 IP 前 级 列表 的 
末尾 隐 含 看 一 条 拒绝 所 有 的 语句 ， 因 此 一 个 对 象 阁 不 满足 任何 一 个 语句 ， 则 该 对 象 被 视 
为 不 被 该 IP 前 级 列表 允许 通过 。 z 


ip ip-prefix helloindex 10 permit 172.16.0.0 16 greater-equal 24 less-equal 32 


指定 IP 地 址 指定 掩 码 长 度 指定 掩 码 长 度 的 范围 
图 6-21 在 IP 前 级 列表 中 指定 掩 码 长 度 的 范围 


IP 前 缀 列表 是 一 个 重要 的 路 由 策略 工具 ， 能 够 作为 路 由 过 滤器 被 应 用 于 各 种 场景 ， 
例如 可 以 被 Route-Policy 调用 ， 或 者 Filter-Policy 调用 等 等 ， 另 外 ， 也 在 BGP 路 由 协议 
中 被 直接 用 于 路 由 过 小 。 








-A IP 前 级 列表 的 一 条 语句 时 , 可 以 手工 指定 该 语句 的 序号 , 例如 ip ip-prefix 
aa index 10 permit 172.16.0.0 24， 也 可 以 不 指定 ， 例 如 ip ip-prefix aa permit 172.16.0.0 
24， 如 果 不 指定 序号 ， 则 命令 在 输入 后 ， 系 统 会 自动 为 该 语句 添加 一 个 序号 ， 如 果 该 语 
句 是 本 IP 前 级 列表 的 第 一 条 语句 ， 则 缺 省 分 配 到 的 序号 是 10， 此 后 车 再 向 该 了 前 级 列 
表 中 添加 新 的 语句 并 且 不 指定 序号 , 则 新 的 语句 缺 当 以 10 为 步 长 进行 序号 的 递增 , 也 就 
是 说 第 二 条 语句 的 序号 为 20， 第 三 条 为 30， 以 此 类 推 。 


下 面 通过 几 个 例子 来 加 深 大 家 对 IP 前 绥 列 表 的 理解 。 假 设 有 四 条 路 由 : 172.16.0. 
0/16、172.16.0.0/24、172.16.0.0/30 及 172.16.1.1/32， 它 们 都 是 用 于 测试 的 被 匹配 对 象 。 
通过 不 同 的 卫 前 级 列表 可 以 达到 不 同 的 结果 。 

(1) ip ip-prefix aa index 10 permit 172.16.0.0 24 

上 述 语句 要 求 路 由 的 目的 网 络 地 址 的 前 24 个 比特 位 需 与 172.16.0.0 的 前 24 个 比特 
位 相同 ， 并 且 路 由 的 目的 网 络 掩 码 长 度 必 须 为 24。 因 此 aa 这 个 IP 前 级 列表 只 允许 J 
条 路 由 中 的 172.16.0.0/24。 

(2) ip ip-prefix bb index 10 permit 172.16.0.0 16 less-equal 24 

上 述 语句 要 求 路 由 的 目的 网 络 地 址 的 前 16 个 比特 位 需 与 172.16.0.0 的 前 16 个 比特 
位 相同 ， 并 且 路 由 的 目的 网 络 掩 码 长 度 须 大 于 或 等 于 16， 且 小 于 或 等 于 24。 因 此 bb 这 
“个 前缀 列表 允许 了 四 条 路 由 中 的 172.16.0.0/16 及 172.16.0.0/24。 

(3) ip ip-prefix cc index 10 permit 172.16.0.0 16 greater-equal 24 

上 述 语 句 要 求 路 由 的 目的 网 络 地 址 的 前 16 个 比特 位 需 与 172.16.0.0 的 前 16 个 比特 
位 相同 ， 并 且 路 由 的 目的 网 络 掩 码 长 度 须 大 于 或 等 于 24 (上 且 小 于 或 等 于 32， 系 统 会 自动 
在 该 命令 后 添加 less-equal 32 )。 因 此 cc 这 个 IP 前 级 列表 允许 了 四 条 路 由 中 的 
172.16.0.0/24、172.16.0.0/30 以 及 172.16.1.1/32。 
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(4) ip ip-prefix dd index 10 permit 172.16.0.0 16 greater-equal 24 less-equal 30 

上 述 语句 要 求 路 由 的 目的 网 络 地 址 的 前 16 个 比特 位 须 与 172.16.0.0 的 前 16 个 比特 
位 相同 ， 并 且 路 由 的 目的 网 络 掩 码 长 度 须 大 于 或 等 于 24， 且 小 于 或 等 于 30。 因 此 dd 这 
个 IP 前 级 列 表 允 许 了 四 条 路 由 中 的 172.16.0.0/24 和 172.16.0.0/30。 

(5) ip ip-prefix ee index 10 deny 172.16.0.0 30 

ip ip-prefix ee index 20 permit 172.16.0.0 24 

上 述 IP 前 级 列表 的 名 称 为 ee， 它 拥有 两 条 语句 。 序 号 为 10 的 语句 要 求 路 由 的 目的 
网 络 地 址 的 前 30 个 比特 位 须 与 172.16.0.0 的 前 30 个 比特 位 相同 ， 并 且 路 由 的 目的 网 络 
掩 码 长 度 必 须 为 30， 而 由 于 该 语句 的 匹配 模式 为 deny， 因 此 四 条 路 由 中 的 172.16.0.0/30 
被 该 语句 匹配 住 而 且 被 拒绝 。 另 外 ， 序 号 为 20 的 语句 匹配 路 由 172.16.0.0/24。 由 于 人 P 
前 绥 列 表 末 尾 隐 含 拒绝 所 有 ，, 因此 最 终 四 条 路 由 中 只 有 172.16.0.0/24 被 该 IP 前 级 列表 所 
爷 社 。 

(6) ip ip-prefix ff index 10 permit 0.0.0.0 0 less-equal 32 

上 述 语句 中 ，IP 地 址 为 0.0.0.0， 这 种 形式 的 IP 地 址 被 称 为 通 配 地 址 ， 也 即 该 地 址 
能 罗 配 任意 的 目的 网 络 地 址 。 因 此 该 语句 并 不 关心 被 还 配 路 由 的 目的 网 络 地 址 ， 但 是 要 
求 路 由 的 目的 网 络 掩 码 长 度 须 大 于 或 等 于 0， 且 小 于 或 等 于 32， 实 际 上 所 有 的 路 由 都 满 
足 上 述 要 求 ， 因 此 ， 该 条 语句 相当 于 “允许 所 有 ”。 因 此 四 条 路 由 都 将 被 允许 。 

(7) ip ip-prefix gg index 10 deny 172.16.0.0 30 

ip ip-prefix gg index 20 permit 0.0.0.0 0 less-equal 32 

上 述 卫 前 级 列表 的 名 称 为 gg， 它 拥有 两 条 语句 。 序 号 为 10 的 语句 拒绝 了 路 由 
172.16.0.0/30， 而 序号 为 20 的 语句 则 为 允许 所 有 ， 因 此 四 条 路 由 中 ， 除 了 172.16.0.0/30 
之 外 ， 其 他 所 有 路 由 都 被 允许 。 

(8) ip ip-prefix hh index 10 permit 0.0.0.0 0 greater-equal 32 less-equal 32 

上 述 IP 前 级 列表 将 匹配 网 络 掩 码 长 度 为 32 的 任意 路 由 ， 也 就 是 匹配 所 有 的 主机 路 
由 ， 因 此 四 条 路 由 中 ， 只 有 172.16.1.1/32 被 允许 。 

(9) ip ip-prefix ii index 10 permit 0.0.0.0 0 

这 是 一 个 非常 特殊 的 语句 ， 该 语句 允许 的 是 默认 路 由 0.0.0.0/0。 


6.4.2 ”案例 1: 在 Route-Policy 中 调用 IP 前 缀 列表 


在 图 6-22 中 ，R3 配置 了 多 条 静态 路 由 ， 以 便 到 达 R1 及 R2 所 连接 的 远 端 网 络 。 现 
在 ， 为 了 让 OSPF 域内 的 其 他 路 由 器 能 够 学 习 到 这 些 静 态 路 由 ， 就 必须 在 R3 上 将 静态 
路 由 引入 OSPF。 这 个 操作 将 把 R3 路 由 表 中 所 有 的 静态 路 由 都 引入 OSPF， 如 果 此 时 该 
网 络 的 需求 是 只 将 除了 172.16.0.0/16 之 外 的 其 他 静态 路 由 引入 OSPF， 那 么 只 要 在 
import-route 命令 中 关联 Route-Policy 即 可 。 然 而 如 果 在 该 Route-Policy 中 调用 ACL 来 
实现 感 兴趣 路 由 的 匹配 ， 显 然 是 无 法 实现 上 述 需 求 的 ， 假 设 R3 使 用 如 下 ACL。 

TO deny source 172.16.0.0 0.0:0.0 

[R3-acl-basic-2000]jrule permit 

则 该 ACL 不 仅仅 将 172.16.0.0/16 路 由 拒绝 ， 也 将 172.16.0.0/24 路 由 拒绝 了 。 在 本 
例 中 ，IP 前 级 列表 将 是 一 个 更 好 的 选择 。 
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LO. IO.23.2 


静态 路 由 : 
.| 172.16.0.0/24 
: | 172.16.1.0/24 


172.16.2.0/24 


OE 


图 6-22 ”在 Route-Policy 中 调用 卫 前 级 列 表 


R3 的 关键 配置 如 下 : 

# 创 建 名 称 为 abcd 的 IP 前 级 列表 : 

[R3]ip ip-prefix abcd deny 172.16.0.0 16 

[R3]ip ip-prefix abcd permit 0.0.0.0 0 less-equal 32 


# 创 建 名 称 为 hcnp 的 Route-Policy， 在 其 节点 10 中 调用 IP 前 级 列表 acbd: 
[R3]route-policy henp permit node 10 

[R3-route-policylif-match ip-prefix abcd 

[R3-route-policy]quit 


# 将 静态 路 由 引入 OSPF， 在 这 个 过 程 中 关联 Route-Policy hcnp 实现 路 由 过 滤 : 
[R3]ospf 1 | 
[R3-ospf-1]jimport-route static route- 5 hcnp 


在 以 上 配置 中 ， 首 先 创建 了 一 个 名 称 为 abcd 的 1 IP 前 级 列表 在 其 中 一 共 定 义 了 两 
个 语句 , ip ip-prefix abcd deny 172.16.0.0 16 的 含义 是 拒绝 172.16.0.0/16 这 条 路 由 ， 而 让 
ip-prefix abcd permit 0.0.0.0 0 less-equal 32 则 是 允许 所 有 。 随 后 该 卫 前 级 列表 被 Route- 
Policy hcnp 的 节点 10〈 匹 配 模 式 为 Permit) 所 调用 。 最 后 , 在 OSPF 配置 视图 下 , import- 
route static 命令 被 用 于 将 静态 路 由 引入 OSPF, 该 命令 关联 了 Route-Policy hcnp。 完 成 上 
述 配 置 后 ，R3 将 本 地 路 由 表 中 除了 172.16.0.0/16 之 外 的 其 他 所 有 静态 路 由 都 引入 OSPF。 


6.4.3 ”案例 2: 在 Filter-Policy 中 调用 IP 前 经 列表 


IP 前 级 列表 除了 能 够 被 Route-Policy 调用 ， 还 可 以 应 用 于 Filter-Policy。 在 图 6-23 
中 ，R2 及 R3 建立 了 OSPF 邻接 关系 ， 而 R1 与 R2 则 通过 RIP 交互 路 由 信息 ，R1 通过 
RIP Response 报 文 问 R2 通告 了 一 批 路 由 ， 这 些 路 由 将 被 R2 加 载 到 目 己 的 路 由 表 中 。 留 
意 到 这 些 路 由 中 ， 存 在 两 种 类 型 ， 其 一 是 目的 网 络 掩 码 长 度 为 24 的 业务 网 段 路 由 ， 另 一 
类 是 目的 网 络 掩 人 码 长 度 为 30 的 互联 网 段 路 由 《这 些 路 由 的 前 三 个 八 位 组 是 192.168.0 )。 
为 了 让 OSPF 域内 的 其 他 路 由 器 学 习 到 RIP 网 络 中 的 业务 网 段 路 由 , R2 需要 将 RIP 引入 
OSPF。 此 时 如 果 要 求 R2 只 将 业务 网 段 路 由 引入 OSPF， 而 不 将 互联 网 段 路 由 引入 ， 则 
可 以 在 R2 上 部 普 Filter-Policy， 从 而 对 于 问 OSPF 发 布 的 路 由 进行 过 滤 。 

R2 的 关键 配置 如 下 : 


[R2]ip ip-prefix abcd deny 192.168.0.0 24 greater-equal 30 less-equal 30 
[R21ip ip-prefix abcd permit 0.0.0.0 0 less-equal 32 
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[R2]ospf 1 

[R2-osp 人 1]import-route rip 

[R3-osp 人 1]filter-policy ip-prefix abcd export rip 

在 以 上 配置 中 ， 卫 前 组 列表 abcd 用 于 过 滤 掉 192.168.0.0/24 网 络 内 的 、 手 码 长 度 为 
30 的 互联 网 段 路 由 ， 并 允许 其 他 路 由 。 而 在 OSPF 的 配置 视图 中 ，filter-policy ip-prefix 
abcd export rip 命令 则 用 于 将 RIP 路 由 引入 OSPF 时 ， 对 R2 向 OSPF 发 布 的 路 由 进行 
过 滤 ， 该 命令 关联 了 卫 前 缀 列表 abcd， 因 此 只 有 被 该 IP 前 级 列表 所 允许 的 路 由 才 会 
做 通 告 。 






RIP Response 报 文 
192.168.1.0/24 
192.168.2.0/24 
192.168.3.0/24 


192.168.0.0/30 
192.168.0.4/30 
192.168.0.8/30 


图 6-23 在 Filter-Policy 中 调用 IP 前 级 列表 


6.5 PBR 


首先 让 我 们 回顾 一 下 传统 卫 路 由 的 概念 ， 所 谓 的 路 由 ， 指 的 是 当 路 由 器 〈 或 其 他 文 
持 路 由 功能 的 网 络 设备 ) 收 到 一 个 P 报 文 时 , 在 其 路 由 表 中 查询 该 报 文 的 目的 IP 地 址 ， 
在 找到 最 逻 配 的 路 由 表 项 后 ， 按 照 该 表 项 所 指示 的 出 接口 及 下 一 跳 IP 地 址 转发 该 报 文 。 
从 这 个 摘 述 可 以 看 出 ， 路 由 行为 只 关心 报 文 的 目的 IP 地 址 ， 而 并 不 关心 其 源 PP 地址 。 
当面 对 一 些 特 殊 的 需求 时 ， 传 统 的 路 由 行为 是 存在 短 板 的 。 

在 图 6-24 中 ，R3 上 联接 了 两 台 出 口 路 由 器 : R1 及 R2， 这 两 台 出 口 路 由 器 都 通过 
各 目的 出 口 线路 连接 到 一 个 服务 器 网 络 , 这些 服务 器 使 用 10.1.1.0/24 网 段 的 卫 地 址 .PC1 
及 PC2 是 网 络 内 部 的 设备 。 当 PC 访问 Server 时 ， 上 行 流量 会 被 送 到 CoreSwitch， 再 由 
它 转 发 给 R3， 而 R3 则 根据 自己 的 路 由 表决 定 将 报 文 转发 给 R1 或 是 R2。 如 果 R3 配置 
了 如 下 路 由 条 目 。 

[R3jip route-static 10.1.1.0 24 10.1.13.1 

那么 无 论 是 PC1 或 是 PC2 发 往 Server 的 报 文 ， 都 会 被 R3 3 转发 给 R1， 再 被 后 者 转 
发 到 服务 器 网 络 。 也 就 是 说 无 论 报 文 的 源 PP 地 址 如 何 ，R3 都 只 根据 其 目的 卫 地 址 进行 
转发 。 如 果 和 希望 设备 根据 报 文 的 源 IP 地 址 执行 数据 分 流 ， 例 如 要 求 192.168.1.0/24 网 段 
的 PC 发 往 Server 的 报 文 经 过 有 R1 到 达 服 务 器 网 络 , 而 192.168.2.0/24 网 段 的 PC 发 往 Server 
的 报 文 则 经 过 R2 到 达 服 务 器 网 络 ， 从 而 使 得 上 行 流量 在 两 个 出 口 设 备 实 行 分 流 ， 这 个 
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需求 如 来 依赖 传统 的 IP 路 由 ， 显 然 是 无 法 实现 的 。 这 时 就 需要 用 到 策略 路 由 了 。 
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图 6-24 ”传统 路 由 的 短 板 


所 谓 的 策略 路 由 ， 即 是 基于 策略 的 路 由 (Policy-Based Routing，PBR)， 本 书 为 了 将 
策略 路 由 与 路 由 策略 区 分 开 来 ， 防 止 读者 产生 困扰 ， 因 此 在 所 有 的 章节 中 统一 使 用 PBR 
这 个 名 称 来 称呼 策略 路 由 。PBR 被 看 做 是 一 种 “升级 版 ”的 路 由 机 制 ， 它 使 得 网 络 设备 
不 仅 能 够 基于 报 文 的 目的 全 地 址 进行 数据 转发 ， 更 能 基于 其 他 元 素 进行 数据 转发 ， 例 如 
源 卫 地 址 、 源 MAC 地 址 、 目 的 MAC 地 址 、 源 端口 号 、 目 的 端口 号 、VLAN-ID 等 。 还 
可 以 使 用 ACL 匹配 特定 的 报 文 ， 然 后 针对 该 ACL 进行 PBR 部 署 。 

需要 强调 的 是 ， 路 由 策略 与 PBR 是 存在 根本 性 差异 的 ， 很 多 初学 者 会 把 两 者 搞 混 ， 
表 6-1 摘 述 了 两 者 的 区 别 。 


LL 6-1 ss PBR 的 区 别 


PC2 
192.168.2.0/24 


一 wm ni 二 一 一 全 一 一 sr x 一 
-1 了 


| 区 ， 1 描述 : - dw 有 a 
路 由 策略 是 一 套用 于 对 路 由 信息 进行 过 湾 、 属 性 设置 等 操作 的 方法 ， 通 

路 由 策略 | 路 由 信息 | 过 对 路 由 的 操作 或 控制 ， 来 影响 数据 报 文 的 转发 路 径 
5bBR | 效 拓 地 广 | PBR 直接 对 数据 报 文 进行 操作 ， 通 过 多 种 手段 匹配 感 兴 趣 的 报 文 , 然后 





执行 丢弃 或 强制 转发 路 径 等 操作 


6.5.1 案例 : PBR 基础 实验 


在 图 6-25 中 ， 网 络 的 需求 是 ， 当 网 络 正常 时 ， 从 192.168.1.0/24 发 往 Server 的 流量 
被 R3 转发 到 R1， 从 192.168.2.0/24 发 往 Server 的 流量 被 R3 转发 到 R2， 从 而 实现 数据 
分 流 ， 提 高 带宽 利用 率 。 男 外 ， 当 R1 发 生 故 障 时 ， 要 求 从 192.168.1.0/24 发 往 Server 的 
流量 能 够 目 动 切换 到 R2， 同 理 当 R2 友 生 故障 时 ， 从 192.168.2.0/24 发 往 Server 的 流量 
能 够 自动 切换 到 R1。 要 实现 上 述 需 求 ， 就 需要 在 R3 上 部 署 PBR。 
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> 
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PC1 PC2 
192.168.1.0/24 192.168.2.0/24 


图 6-25 在 R3 上 部 署 PBR 





R3 的 关键 配置 如 下 : 

# 配 置 两 条 默认 路 由 ， 分 别 指向 两 台 出 口 设备 : 
[R3jip route-static 0.0.0.0 0 10.1.13.1 

[R3]ip route-static 0.0.0.0 0 10.1.23.2 


# 配 置 两 个 ACL， 分 别 用 于 匹配 源 地 址 段 192.168.1.0/24 及 192.168.2.0/24 发 往 Server 的 流量 : 

[R3]acl 3001 

[R3-acl-advy-3001]rule permit ip source 192.168.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 
[R3-acl-adv-3001]guit 

[R3jacl 3002 

[R3-acl-adv-3002jrmle permit ip source 192.168.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 ; 
[R3-acl-adv-3002]quit 


# 配 置 两 个 流 分 类 ， 在 这 两 个 流 分 类 中 分 别 调用 已 经 定义 好 两 个 的 ACL: 
[R3]traffic classifier cl 

__[R3-classifier-c1]if-match acl 3001 
[R3-classifier-cl]quit 
[R3]traffic classifier c2 
[R3-classifier-c2]if-match acl 3002 
[R3-classifier-c2]quit- 一 


# 定 义 两 个 流行 为 ， 分 别 设置 重 定向 的 下 一 跳 下 地 址 为 R1 及 R2: 
~ [R31]traffic behavior bel 

[R3-behavior-bel lredirect ip-nexthop 10.1.13.1 

[R3-behavior-beljquit 

[R3]traffic behavior be2 

[R3-behavior-be2]redirect ip-nexthop 10.1.23.2 

[R3-behavior-be2]quit a 


# 定 义 一 个 流 策略 ， 将 上 述 流 分 类 与 流动 作 进行 绑 定 : 
[R3jtraffc policy mypolicy 
[R3-trafficpolicy-mypolicy]classifier cl behaviorbel 
[R3-trafficpolicy-mypolicyjclassifier c2 behavior be2 
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[R3-tra 亿 cpolicy-mypolicy]jquit 


# 将 定义 好 的 流 策略 应 用 在 R3 的 GE0/0/0 接 日 的 入 方向 ; 
[R3]interface GigabitEthernet 0/0/0 
[R3-GigabitEthernet0/0/0]traffic-policy mypolicy inbound 


在 以 上 配置 中 ，R3 首先 创建 了 两 条 默认 路 由 ， 它们 的 下 一 跳 卫 地 址 分 别 是 10.1.13.1 
及 10.1.23.2 (也 就 是 Rl 及 R2)。 这 两 条 默认 路 由 都 将 被 R3 加 载 到 路 由 表 中 ， 此 时 内 网 
访问 Server 的 上 行 流量 将 会 被 R3 在 R1 及 R2 这 两 个 下 一 跳 进行 负载 分 担 。 单 凭 这 两 条 
默认 路 由 ， 是 无 法 实现 本 案例 的 需求 的 。 为 了 使 得 上 行 流量 在 R3 这 里 实现 基于 源 了 PP 地 
址 的 分 流 ，R3 便 需 要 部 省 PBR。 

以 华为 AR 系列 路 由 器 为 例 ， 其 PBR 是 通过 MQC (Modular QoS Command-Line 
Interface， 模 块 化 QoS 命令 行 ) 来 实现 的 。MQC 的 存在 使 得 PBR 的 部 署 变 得 非常 简单 ， 
命令 也 更 加 模块 化 。 实 际 上 ，MAQC 的 功能 是 非常 强大 的 , 它 主要 用 于 部 蜀 QoS (Quality 
of Service， 服 务 质量 )，PBR 只 是 它 所 能 够 实现 的 诸多 功能 之 一 。MQC 包含 三 个 要 素 : 
流 分 类 (Traffic Classifier)、 流 行为 《Traffic Behavior) 和 流 策略 《Traffic Policy)， 基 本 
的 思路 是 ， 使 用 流 分 类 来 匹配 具有 共同 特征 的 流量 ， 使 用 流行 为 定义 所 要 执行 的 动作 ， 
然后 通过 流 策 略 将 前 面 定 义 好 的 流 分 类 与 流行 为 进行 绑 定 , 最 后 将 流 策略 应 用 到 设备 上 ， 
从 而 实现 “针对 特定 的 流量 执行 特定 的 动作 ”这 一 目标 。 

在 本 例 中 ，R3 部 署 PBR 的 思路 主要 如 下 (图 6-26)。 
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图 6-26 ”使 用 MQC 部 署 PBR 





(1) 首先 创建 ACL3001， 使 用 该 ACL 匹配 192.168.1.0/24 用 户 发 往 Server 的 流量 ， 
-再 创建 ACL3002， 使 用 该 ACL 匹配 192.168.2.0/24 用 户 发 往 Server 的 流量 。 

(2) 然后 定义 两 个 流 分 类 : cl 及 c2， 分 别 调用 ACL3001 及 ACL3002。 

(3) 接着 定义 两 个 流行 为 : bel 及 be2， 分 别 配置 将 报 文 重 定 向 到 10.1.13.1 (R1) 
及 10.1.23.2 (R2 )。 

(4) 再 定义 一 个 流 策 略 : mypolicy， 将 流 分 类 cl 与 流行 为 bel 绑 定 ， 将 流 分 类 c2 
与 流行 为 be2 绑 定 。 

(5) 最 后 将 流 策 略 mypolicy 应 用 在 GE0/0/0 接口 的 入 方 同 。 
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如 此 一 来 ， 当 R3 在 GE0/0/0 接口 上 收 到 流量 时 ， 由 于 该 接口 入 方 同 应 用 了 流 策略 ， 
因此 PC1 访问 Server 的 流量 会 被 强制 转发 给 R1， 而 PC2 访问 Server 的 流量 会 被 强制 转 
发 给 R2, 全 于 其 他 流量 (例如 内 网 可 能 还 存在 192.168.1.0/24 及 192.168.2.0/24 之 外 的 其 
他 网 段 ) 并 不 匹配 流 策略 中 的 任何 一 个 流 分 类 , 因此 这 些 流量 将 按照 传统 IP 路 由 的 方式 ， 
通过 查询 路 由 表 进 行 转发 。 

再 考虑 一 下 网 络 发 生 故 障 的 情况 。 当 R1 发 生 故 障 时 (如 图 6-27 所 示 )，R3 将 立即 
感知 到 该 故障 的 发 生 ， 其 连接 R1 的 接口 状态 会 变 成 Down， 这 使 得 使 用 该 接口 作为 出 接 
口 的 默认 路 由 立即 失效 ， 与 此 同时 ，bel 这 个 流行 为 也 将 失效 ， 因 为 该 流行 为 所 定义 的 
下 一 跳 IP 地 址 已 经 失效 。 此 时 当 PC1 访问 Server 时 ， 上 行 流 量 到 达 R3 后 ，R3 将 依据 
路 由 表 对 这 些 报 文 进行 转发 ， 最 终 它 将 根据 下 一 跳 为 R2 的 默认 路 由 将 报 文 转发 给 R2。 
因此 PC1 发 往 Server 的 流量 可 以 在 R1 发 生 故 障 时 自动 切换 到 R2。R2 发 生 故 障 时 间 理 。 
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图 6-27 RI 发生 故 障 时 


PC2 
1192 168.2.0/24 


6.6 习题 


1. ( 单 选 ) 以 下 关于 路 由 策略 与 PBR 的 说 法 ， 销 误 的 是 (  ) 
A. 路 由 策略 是 一 套用 于 对 路 由 信息 进行 过 滤 、 属 性 设置 等 操作 的 方法 。 
B. PBR 主要 的 操作 对 象 是 路 由 信息 。 
C. Route-Policy 是 路 由 策略 中 非常 重要 的 一 个 工具 。 
D. PBR 直接 对 数据 报 文 进行 操作 ， 通 过 多 种 手段 匹配 感 兴趣 的 报 文 ， 然 后 执行 
丢弃 或 强制 转发 路 径 的 操作 。 
2. 在 图 6-28 中 ，R2 与 R3 建立 了 OSPF 邻接 关系 ，R1 与 R2 则 通过 RIP 交互 路 由 
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信息 。R1 回 R2 通告 了 一 些 RIP 路 由 ， 后 者 将 这 些 路 由 加 载 到 了 目 己 的 路 由 表 中 ， 随 后 
R2 将 RIP 路 由 引入 OSPF。 如 果 R2 采用 如 下 配置 : 

[R2]acl 2000 

[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.0 


[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.0 
[R2-acl-basic-2000]quit 


[R2]route-policy hcnp permit node 10 
[R2-route-policy]if-match acl 2000 
[R2-route-policy]Japply cost 80 
[R2-route-policy]quit 


[R2]ospf 1 
[R2-0spf-1 limport-route rip route-policy henp 





RIP Response 报 文 : 
192.168.1.0/24 : OSPF 
192.168.2.0/24 WE 
192.168.3.0/24 
192.168.4.0/24 


图 6-28 在 R2 上 部 苦 路 由 策略 


那么 R2 完成 上 述 配置 后 ，R3 的 路 由 表 中 ， 将 出 现 哪 几 条 OSPF 外 部 路 由 《只 考虑 
R1 所 通告 的 这 些 路 由 ) ? 

3. 在 图 6-28 中 ， 如 果 R2 采用 如 下 配置 ， 

[R2]acl 2000 


[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.0 
[R2-acl-basic-2000]quit 


[R2]route-policy henp deny node 10 
[R2-route-policy]if-match acl 2000 
[R2-route-policyjquit 
[R21]route-policy hcnp permit node 20 
[R2-route-policy]quit 


[R2jospf 1 

[R2-o0spf-1 limport-route rip route-policy henp 

那么 R2 完成 上 述 配置 后 ，R3 的 路 由 表 中 ， 将 出 现 哪儿 条 OSPF 外 部 路 由 《只 考虑 
Rl1 所 通告 的 这 些 路 由 ) ? 
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7.1 BGP 的 基本 概念 


首先 来 回顾 一 下 目 治 系统 (Autonomous System，AS) 的 概念 。 关 于 AS 的 传统 定义 
是 : 由 一 个 单一 的 机 构 或 组 织 所 管理 的 一 系列 IP 网 络 及 其 设备 所 构成 的 集合 。 可 以 简单 
地 将 AS 理解 为 一 个 独立 的 机 构 或 者 企业 所 管理 的 网 络 , 例如 一 家 网 络 运营 商 的 网 络 等 。- 
男 一 个 关于 AS 的 例子 是 ， 一 家 全 球 性 的 大 型 企业 在 其 网 络 的 规划 上 将 全 球 各 个 区 域 划 
分 为 一 个 个 的 AS， 例 如 中 国 区 是 一 个 AS， 韩 国 区 是 另 一 个 AS。 

根据 工作 范围 的 不 同 , 动态 路 由 协议 可 分 为 两 类 , 一 类 被 称 为 IGP (Interior Gateway 
Protocol， 内 部 网 关 协 议 )， 例 如 RIP、OSPF、IS-IS 等 。 另 一 类 被 称 为 EGP (Exterior Gateway 
Protocol， 外 部 网 关 协 议 )， 例 如 BGP 等 。IGP 协议 用 于 帮助 路 由 器 发 现 到 达 本 AS 内 的 
路 由 ， 一 个 AS 通常 采用 一 种 IGP 协议 ， 当 然 ， 仍 存在 许多 大 型 的 网 络 ， 它 们 在 一 个 AS 
中 采用 多 种 IGP 协议 以 便 支 撑 该 网 络 多 元 化 的 需求 。 无 论 如 何 ，IGP 协议 能 够 帮助 一 个 
AS 内 的 路 由 器 发 现 到 达 该 AS 各 个 网 段 的 路 由 ， 从 而 实现 AS 内 部 的 数据 互通 。 然 而 在 
一 个 由 多 个 AS 构成 的 大 规模 的 网 络 中 ， 还 需要 EGP 协议 来 完成 AS 之 间 的 路 由 交互 。 
Internet 就 是 一 个 包含 多 个 AS 的 超大 规模 网 络 ， 在 Internet 的 骨干 节点 上 ， 正 是 运行 着 
EGP 协议 ， 从 而 实现 AS 之 间 的 路 由 交互 ， 而 BGP 就 是 最 为 大 家 熟知 和 使 用 得 最 为 广泛 
的 一 种 EGP 协议 ， 如 图 7-1 所 示 。 














a AS 100 
OSPF 和 RIP 






图 7-1 IGP 与 BGP 


BGP (Border Gateway Protocol， 边 界 网 关 协 议 ) 几乎 是 当前 唯一 被 用 于 在 不 同 AS 
之 间 实 现 路 由 交互 的 EGP 协议 。BGP 适用 于 大 型 的 网 络 环境 ， 例 如 运营 商 网 络 ， 或 者 
大 型 企业 网 等 。BGP 支持 VLSM、 支 持 CIDR (Classless Inter-Domain Routing， 无 类 域 
间 路 由 )， 文 持 上 自动 路 由 汇总 、 手 工 路 由 汇总 。 

BGP 使 用 TCP 作为 传输 层 协议 ， 这 使 得 协议 报 文 的 交互 更 加 可 靠 和 有 序 。BGP 使 
用 目的 TCP 端口 179， 两 台 互 为 对 等 体 的 BGP 路 由 器 首先 会 建立 TCP 连接 ， 随 后 协商 
各 项 参数 并 建立 对 等 体 关 系 ， 初 始 情况 下 ， 两 者 会 同步 双方 的 BGP 路 由 表 ， 在 BGP 路 
由 表 同 步 完 成 后 , 路 由 器 不 会 周期 性 地 发 送 BGP 路 由 更 新 ,而 只 发 送 增 量 更 新 或 在 需要 
时 进行 触发 性 更 新 , 这 大 大 地 减 小 了 设备 的 负担 及 网 络 带 宽 损 耗 ， 由 于 BGP 往往 被 用 于 
承载 大 批量 的 路 由 信息 ， 如 果 依 然 像 IGP 协议 那样 ， 周 期 性 地 交互 路 由 信息 ， 显 然 是 相 
当 低 效 和 不 切实 际 的 。 
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BGP 定义 了 多 种 路 径 属 性 〈Path Attribute) 用 于 描述 路 由 ， 就 像 一 个 人 拥有 身高 、 
体重 、 学 历 、 特 长 和 经 历 等 属性 一 样 ， 一 条 BGP 路 由 同样 携带 着 多 种 属性 ， 路 径 属 性 将 
影响 BGP 路 由 的 优选 。BGP 还 定义 了 丰富 的 路 由 策略 工具 ， 这 些 工 具 使 得 BGP 具有 强 
大 的 路 由 操控 能 力 ， 这 也 是 BGP 的 魅力 之 一 。 

BGP 的 发 展 过 程 中 , 经 历 了 数 个 版 本 , 目前 在 IPv4 环 场 中 , BGPv4 (BGP Version 4， 
BGP 版 本 4) 被 广泛 使 用 ， 该 版 本 在 RFC4271 (A Border Gateway Protocol 4) 中 描述 。 
本 章 正 是 基于 BGPv4 进行 讲解 , 因此 除非 特别 说 明 , 否则 本 章 中 的 BGP 指 的 是 BGPv4。 

学 习 完 本 节 之 后 ， 我 们 应 该 能 

。 了 解 BGP 的 应 用 场景 及 协议 特点 ; 
熟悉 BGP 对 等 体 关 系 的 类 型 及 区 别 ; 
熟悉 BGP 各 种 报 文 的 功能 及 格式 ; 
理解 BGP 对 等 体 关 系 的 建立 过 程 ; 
理解 [BGP 水 平分 割 的 原理 ; 
理解 BGP 路 由 黑洞 问题 ， 了 解 其 解决 办 法 。 


7.1.1 BGP 对 等 体 关系 类 型 


回顾 一 下 IGP 协议 的 操作 ， 以 OSPF 为 例 ， 当 我 们 在 两 台 直 连 路 由 器 的 直 连 接口 激 
活 OSPF 后 ， 这 两 个 接口 就 开始 收发 Hello 报 文 ， 在 通过 Hello 报 文 发 现 了 直 连 链 路 上 的 
邻居 后 ， 一 个 邻接 关系 的 建立 过 程 也 就 开始 了 。IGP 协议 要 求 需要 建立 邻居 关系 的 两 台 
路 由 器 必须 是 直 连 的 ， 然 而 BGP 则 大 不 相同 。BGP 的 对 等 体 关 系 并 不 要 求 设 备 必须 直 
连 ，BGP 采用 TCP 作为 传输 层 协 议 ， 两 台 路 由 器 只 要 具备 IP 连通 性 ， 并 且 能 够 顺利 地 
基于 TCP179 端口 建立 连接 ， 就 可 以 建立 BGP 对 等 体 关 系 ， 因 此 BGP 的 对 等 体 关 系 是 
可 以 跨 设 备 建立 的 。 

我 们 将 建立 BGP 邻居 关系 的 路 由 器 称 为 BGP 对 等 体 (Peer)。BGP 有 两 种 对 等 体 关 
系 ， 一 种 是 EBGP， 另 一 种 是 IJBGP。 

1. EBGP 对 等 体 关 系 (External BGP Peer ) 

如 果 建 立 对 等 体 关 系 的 两 台 BGP 路 由 器 位 于 不 同 的 AS， 那 么 它们 之 间 的 关系 被 称 
为 EBGP 对 等 体 关 系 。 在 图 7-2 中 ， 显 示 了 3 个 AS 通过 BGP 对 接 的 场景 。 图 中 对 于 这 
3 个 AS 内 部 的 网 络 架 构 只 是 做 了 一 个 非常 简单 的 描绘 , 实际 上 AS 内 部 的 网 络 可 能 是 庞 
大 而 复杂 的 ， 只 不 过 站 在 BGP 的 视角 ， 它 并 不 关心 AS 内 部 的 网 络 结构 。 在 AS 100、 
AS 200 及 AS 300 中 ， 各 目 运 行 着 IGP 协议 ， 目 的 是 为 了 实现 AS 内 部 的 路 由 互通 ， 而 
AS 之 间 的 路 由 信息 交互 则 由 BGP 来 完成 。 在 本 例 中 , R1 及 R2 运行 了 BGP 并且 两 者 建 


” 立 了 EBGP 对 等 体 关系 ， 同 样 ，R3 及 R4 之 间 也 建立 了 EBGP 对 等 体 关 系 。 


一 条 BGP 路 由 在 EBGP 对 等 体 之 间 传 递 时 ,会 发 生 有 趣 的 变化 。 在 图 7-3 中 ， 描 述 
了 AS 200 中 的 一 条 路 由 一 一 10.1.1.0/24 在 EBGP 对 等 体 之 间 的 传递 情况 。R2 将 AS 200 
中 的 10.1.1.0/24 路 由 发 布 到 了 BGP， 它 将 这 条 路 由 通过 BGP 通告 给 自己 的 EBGP 对 等 
体 R1。 每 条 BGP 路 由 都 携带 着 多 个 属性 ， 这 些 属性 被 称 为 路 径 属 性 ， 其 中 一 个 非常 重 
要 的 路 径 属 性 就 是 AS_Path，AS_Path 是 每 条 BGP 路 由 都 会 携带 的 属性 ， 它 描述 了 一 条 
BGP 路 由 在 传递 过 程 中 所 经 过 的 AS 的 号 码 。R2 将 始 发 于 AS 200 的 路 由 10.1.1.0/24 通 
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告 给 Rl1 时 ， 将 该 路 由 的 AS Path 设置 为 200， 而 R1 将 这 条 路 由 通告 给 自己 的 IBGP 对 
等 体 R3 时 ， 路 由 的 AS Path 不 发 生 改 变 。R3 将 该 路 由 通告 给 EBGP 对 等 体 R4 时 ， 则 
将 路 由 的 AS_Path 修改 为 100 200， 也 就 是 在 原 有 的 AS_Path 基础 上 ,插入 自己 所 处 AS 
的 号 公 ， 当 R4 收 到 这 条 BGP 路 由 更 新 时 ， 它 便 知 道 要 到 达 该 目的 网 段 ， 需 要 经 过 100、 
200 这 两 个 AS 一 一 您 可 能 已 经 发 现 了 ，BGP 路 由 在 EBGP 对 等 体 之 间 的 传递 过 程 ， 很 
有 点 距离 矢量 路 由 协议 的 味道 .实际 上 如 果 R2 及 R4 之 间 也 建立 EBGP 对 等 体 关 系 的 话 ， 
那么 R4 将 会 从 R2 直接 收 到 10.1.1.0/24 的 路 由 更 新 ， 而 这 条 路 由 的 AS_Path 为 200, 单 - 
纯 从 AS_Path 属性 值 的 长 度 (包含 的 AS 号 码 个 数 ) 来 衡量 ， 显 然 对 于 R4 而 言 直接 从 
R2 到 达 目 标 网 段 要 更 “ 近 ” 一 点 。 因 此 ，AS _ Path 的 长 度 会 影响 路 由 器 对 BGP 路 径 的 
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.图 7-3 BGP 路 由 在 EBGP 对 等 体 之 间 的 传递 


另外 ， 路 由 在 EBGP 对 等 体 之 间 传 递 时 ，AS Path 还 用 于 防止 出 现 路 由 环 路 。R4 从 
R3 收 到 10.1.1.0/24 路 由 后 ， 如 果 它 与 R2 之 间 存 在 EBGP 对 等 体 关系 ， 那 么 它 会 将 该 路 
由 通告 给 R2， 此 时 路 由 的 AS Path 为 300 100 200， 如 图 7-3 所 示 ，R2 从 R4 收 到 该 路 
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由 后 ， 会 忽略 这 条 路 由 更 新 ， 因 为 它 在 收 到 的 路 由 中 看 到 了 自己 本 地 的 AS 号 码 ， 便 意 
识 到 网 络 中 出 现 了 环 路 。 

通常 情况 下 ，EBGP 对 等 体 关 系 必 须 基 于 直 连 接口 建立 ， 例 如 本 例 中 的 R1 及 R2， 
它们 是 直 连 的 ， 此 时 双方 便 可 使 用 直 连 接口 来 建立 EBGP 对 等 体 关系 。BGP 之 所 以 要 设 
定 这 样 的 规则 ， 是 因为 缺 省 情况 下 ，EBGP 对 等 体 之 间 发 送 的 BGP 协议 报 文 的 TTL 值 
为 1， 这 使 得 这 些 协议 报 文 只 能 够 被 传送 1 跳 。 当然， 在 某 些 特殊 的 场景 中 我 们 可 能 需 
要 在 两 台 非 直 连 的 路 由 器 之 间 建 并 EBGP 对 等 体 关 系 ， 那 么 就 需要 修改 EBGP 对 等 体 的 
跳 数 限制 ， 通 过 这 个 操作 来 修改 协议 报 文 中 的 TTL 值 。 

2. IBGP 对 等 体 关 系 (Internal BGP Peer ) 

如 果 建 立 对 等 体 关 系 的 两 台 BGP 路 由 器 位 于 相同 的 AS， 那么 它们 之 间 的 关系 被 称 
为 [BGP 对 等 体 关 系 。 例 如 在 图 7-2 所 描述 的 网 络 中 ，AS 100 内 存在 两 台 运 行 着 BGP 的 
路 由 器 : R1 及 R3， 由 于 它们 同属 一 个 AS， 因 此 它们 之 间 所 建立 的 关系 为 IBGP 对 等 体 
关系 。 同 样 的 ，AS 200 中 的 R2 及 R6 也 建立 了 IBGP 对 等 体 关 系 。 值 得 注意 的 是 ， 在 两 
台 路 由 器 之 间 建 立 IBGP 对 等 体 关 系 时 ， 并 不 要 求 它们 必须 直 连 ， 在 本 例 中 ，AS 100 里 
的 Rl 和 R3 就 并 未 直 连 ， 得 益 于 AS 100 中 运行 的 IGP 协议 (例如 OSPF 等 )，R1 及 R3 
能 够 发 现 到 达 对 方 的 路 由 ， 从 而 两 者 能 够 借助 这 些 路 由 建立 TCP 连接 ， 并 进一步 建立 
IBGP 对 等 体 关 系 。 

不 同 的 BGP 对 等 体 关 系 ， 对 路 由 的 操作 是 有 明显 区 别 的 。 例 如 BGP 路 由 在 EBGP 
对 等 体 之 间 传 递 时 ，AS _Path 属性 会 发 生 改变 ， 路 由 的 发 送 方 会 在 该 条 BGP 路 由 原 有 
AS_Path 的 基础 上 , 插入 目 己 所 处 AS 的 号 码 。 而 BGP 路 由 在 IBGP 对 等 体 之 间 传 递 时 ， 
AS _Path 不 会 发 生 改 变 。 当 然 , EBGP 路 由 及 IBGP 路 由 在 传播 过 程 中 的 差异 还 不 仅 限 于 
此 ， 后 续 的 内 容 将 做 进一步 介绍 。 


7.1.2 ”IBGP 水 平分 割 规则 


我 们 已 经 知道 , AS Path 属性 可 以 防止 BGP 路 由 在 EBGP 对 等 体 之 间 传 递 时 发 生 环 
路 ， 然 而 当 路 由 在 IBGP 对 等 体 之 间 传 递 时 ，AS_Path 属性 的 值 是 不 会 发 生 改 变 的 ， 也 
束 是 说 当 BGP 路 由 在 一 个 AS 内 传递 时 ， 是 无 法 依赖 AS_Path 提供 的 防 环 能 力 的 ， 那 么 
此 时 路 由 环 路 就 有 可 能 发 生 ，IBGP 水 平分 割 规则 就 是 用 于 解决 这 个 问题 的 。 

图 7-4 所 示 的 网 络 中 ，R1 与 R2 和 R3 分 别 建 立 EBGP 对 等 体 和 关系， 而 AS 64513 内 
的 三 台 路 由 器 则 两 两 建立 IBGP 对 等 体 关 系 。 现 在 R1 将 AS 64512 内 的 10.1.1.0/24 路 由 
发 布 到 BGP。R1 将 这 条 路 由 通过 BGP 通告 给 自己 的 EBGP 对 等 体 R2， 当 然 ， 我 们 并 
不 担心 这 条 路 由 在 AS 64512 及 AS 64513 之 间 传 递 时 会 发 生 环 路 ， 因 为 AS_Path 能 够 起 
到 防 环 的 作用 。 但 是 在 AS 内 部 的 路 由 防 环 呢 ? 当 R2 收 到 R1 通告 的 10.1.1.0/24 路 由 后 ， 
它 将 这 条 路 由 通告 给 自己 的 IBGP 对 等 体 R3 及 R4，R4 会 将 该 路 由 通告 给 IBGP 对 等 体 
R3， 而 R3 又 会 将 该 路 由 通告 给 R2， 这 就 极 有 可 能 引发 路 由 环 路 。 

BGP 规定 ， 当 路 由 器 从 一 个 IJBGP 对 等 体 学 习 到 某 条 BGP 路 由 时 ， 它 将 不 能 再 把 这 
条 路 由 通告 给 任何 IBGP 对 等 体 ， 这 就 是 IBGP 水 平分 割 规则 。 在 本 例 中 ，R4 从 IBGP 
对 等 体 R2 学 习 到 的 路 由 将 不 能 再 通告 给 R3， 因 为 R3 也 是 它 的 IBGP 对 等 体 。 同 理 ， 
R3 从 R2 学 习 到 的 BGP 路 由 也 不 能 通告 给 R4。 
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*…> BGP 对 等 体 
图 7-4 IBGP 水 平分 割 规则 


IBGP 水 平分 割 规 则 是 一 个 非常 重要 的 设计 ， 它 可 以 在 极 大 程度 上 规避 AS 内 BGP 
路 由 传递 时 可 能 引发 的 路 由 环 路 问题 。 然 而 在 某 些 场景 中 ， 它 也 会 带 来 一 些 新 的 问题 。 

图 7-5 展示 了 一 个 示例 , 在 这 个 网 络 中 , R4 增加 了 一 个 IBGP 对 等 体 R5。 由 于 IBGP 
水 平分 割 规则 的 限制 ，R4 是 无 法 将 学 习 自 IBGP 对 等 体 R2 的 10.1.1.0/24 路 由 再 通告 给 
另 一 个 IBGP 对 等 体 Rs 的 ， 因 此 这 将 造成 R5 无 法 学 习 到 去 往 AS 64512 的 路 由 。 实 际 
上 我 们 不 可 能 放弃 IBGP 水 平分 割 规则 ， 因 为 它 确 实 非常 重要 ， 但 是 在 许多 场景 下 又 必 
须 解 决 IJBGP 路 由 传递 的 问题 。 这 个 问题 有 多 种 解决 办 法 ， 例 如 可 以 在 AS 内 部 建立 IBGP 
对 等 体 关 系 的 全 互联 模型 。 以 AS 64513 为 例 ， 需 在 该 AS 中 所 有 的 BGP 路 由 器 两 两 之 
同 建立 IBGP 对 等 体 关 系 ， 如 图 7-6 所 示 。 
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图 7-5 IBGP 水 平分 割 带 来 的 问题 
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图 7-6 AS 内 的 IBGP 对 等 体 全 互联 模型 
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在 一 个 AS 内 部 实现 IBGP 对 等 体 全 互联 是 一 种 常规 的 解决 方案 。 在 本 例 中 ，R2 与 
R5、R3 与 R 可 能 并 非 直 连 的 路 由 器 ， 但 是 正如 前 文 所 说 ， 它 们 无 需 直 连 ， 实 际 上 AS 
64513 内 的 所 有 路 由 做 可 能 已 经 运行 了 一 个 IGP 协议 ， 例 如 OSPF， 使 得 该 AS 内 的 路 由 
器 能 够 学 习 到 去 往 本 AS 内 所 有 网 段 的 路 由 。 如 此 一 来 ，R2 与 RS，R3 与 Rs 即 可 建立 
TCP 连接 并 进一步 建立 IBGP 对 等 体 关 系 。 虽 然 R2 与 R5 之 间 直 接 建立 起 了 IBGP 对 等 
体 关 系 , 但 是 其 实 两 者 交互 的 BGP 协议 报 文 依然 需要 通过 物理 路 径 来 转发 , 例如 可 能 需 
要 经 过 R4， 只 不 过 对 于 R4 而 言 ， 它 只 是 简单 地 转发 这 些 报 文 ， 而 不 会 对 报 文 的 内 容 感 
兴趣 ， 因 为 报 文 的 目的 他 地 址 并 非 目 己 拥有 的 IP 地 址 ， 而 是 R2 或 者 Rs 的 地 址 。 

在 一 个 AS 内 建立 [BGP 对 等 体 全 互联 模型 在 许多 场景 中 是 可 行 的 ， 但 是 在 另 一 些 
场景 中 ， 却 会 带 来 问题 ， 如 果 AS 内 的 BGP 路 由 器 数量 特别 大 时 ,所 有 的 路 由 器 两 两 之 
则 建立 IBGP 对 等 体 关 系 显 然 可 能 给 网 络 及 设备 带 来 较 大 的 负担 ， 而 且 也 降低 了 网 络 的 
可 扩展 性 。 好 在 BGP 还 有 另外 两 种 解决 方案 ， 它 们 是 路 由 反射 器 及 联邦 。 关 于 这 两 个 解 
决 方案 将 在 后 续 的 章节 中 介绍 。 


7.1.3 ”路 由 黑洞 问题 及 BGP 同步 规则 


我 们 已 经 知道 , 两 台 BGP 路 由 器 之 间 无 需 直 连 也 可 建立 对 等 体 关 系 , 只 要 它们 具备 
IP 连通 性 并 且 可 以 建立 TCP 连接 即 可 。BGP 的 这 个 特点 使 得 路 由 的 传递 更 加 灵活 ， 然 
而 稍 有 不 慎 ， 这 个 特性 也 可 能 带 来 一 个 及 烦 ， 例 如 路 由 黑洞 。 

以 图 7-7 为 例 ，R1、R2、R3 及 R7 均 是 BGP 路 由 器 ， 并 且 按 照 图 示 建 立 BGP 对 等 
体 关 系 。AS 34567 内 已 经 部 署 了 OSPF, 使 得 AS 内 部 的 路 由 器 能 够 获知 到 达 该 AS 内 各 
个 网 段 的 路 由 信息 。R4、R5 及 R6 并 不 运行 BGP， 只 运行 OSPF， 得 益 于 AS 34567 内 
运行 的 OSPF，R3 及 R7 实现 了 IP 连通 性 (R3 及 R7 之 间 并 没有 直 连 的 物理 链 路 )， 并 
且 建 立 起 了 IBGP 对 等 体 关 系 。 
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图 7-7 BGP 环境 中 路 由 黑洞 的 产生 背景 
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现在 Rl 将 AS 100 内 的 1.0.0.0/8 路 由 发 布 到 了 BGP, 然后 将 这 条 路 由 通告 给 了 R3， 
而 R3 则 将 这 条 BGP 路 由 通过 IBGP 连接 直接 通告 给 了 R7( 假 设 R3 在 将 该 BGP 路 由 通 
告 给 R7 时 ， 告 知 了 R7 需 经 自己 到 达 该 路 由 所 指向 的 目的 地 ， 为 了 达到 这 个 目的 ，R3 
将 该 BGP 路 由 的 Next Hop 属性 值 设 置 为 它 目 己 的 地 址 )，R7 再 将 其 通告 给 R2， 最 终 
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R2 能 够 通过 BGP 学 习 到 1.0.0.0/8 这 条 来 目 AS 100 的 路 由 并 将 其 加 载 到 自己 的 路 由 表 中 。 

现在 R2 收 到 一 个 去 往 1.0.0.0/8 的 数据 包 ， 它 查询 路 由 表 后 发 现 到 达 该 目的 地 的 下 
一 跳 为 R7， 于 是 将 数据 包 转 发 给 R7。R7 收 到 这 个 数据 包 后 也 进行 路 由 表 得 询 ， 结 末 故 
现 到 达 该 目的 地 的 下 一 跳 为 R3， 然 而 R3 并 非 它 的 直 连 路 由 器 ， 它 意识 到 下 一 跳 路 由 器 
处 于 一 个 远 端 网 段 ， 因 此 它 将 继续 在 自己 的 路 由 表 中 查询 到 达 R3 的 路 由 《也 即 递归 得 
询 )。 由 于 AS 34567 内 已 经 运行 了 OSPF，R7 发 现 可 以 通过 OSPF 路 由 到 达 R3， 而 且 下 
一 跳 是 R4 (假设 当 网 络 正常 时 ，R7 选择 经 R4 到 达 R3)。 如 此 一 来 R7 意识 到 要 将 数据 - 
包 送 达 1.0.0.0/8， 需 先 将 其 转发 给 R4。 

当 R4 收 到 这 个 发 往 1.0.0.0/8 的 数据 包 时 ， 它 将 在 自己 的 路 由 表 中 查询 到 达 该 目的 
网 段 的 路 由 ， 由 于 该 路 由 是 在 BGP 中 被 通告 的 “AS 34567 内 运行 的 OSPF 并 不 知晓 到 
达 这 个 目的 网 段 的 路 由 )， 而 R4 恰恰 没有 运行 BGP， 人 至 此 在 R4 上 就 出 现 了 路 由 黑洞 ， 
发 往 这 个 目的 网 段 的 数据 包 在 R4 这 里 被 丢弃 。 同 样 的 问题 也 可 能 发 生 在 R6 上 ， 当 R4 
发 生 故 障 时 ，R7 将 会 把 到 达 1.0.0.0/8 的 报 文 转发 给 R6， 而 后 者 同样 存在 路 由 黑洞 问题 。 

为 了 规避 路 由 黑洞 问题 ，BGP 引入 了 同步 规则 (BGP Synchronization )。 上 所 谓 的 BGP 
同步 规则 指 的 是 : 当 一 台 路 由 器 从 自己 的 IJBGP 对 等 体 学 习 到 一 条 BGP 路 由 时 -这 类 路 
由 被 称 为 IJBGP 路 由 ), 它 将 不 能 使 用 该 条 路 由 或 把 这 条 路 由 通告 给 自己 的 EBGP 对 等 体 ， 
除非 它 又 从 IGP 协议 (例如 OSPF 等 ， 此 处 也 包含 静态 路 由 ) 学 习 到 这 条 路 由 ， 也 就 是 
要 求 [BGP 路 由 与 IGP 路 由 同步 。 同 步 规则 主要 用 于 规避 BGP 路 由 黑洞 问题 。 

还 是 以 图 7-7 为 例 , 如 果 R7 激活 了 BGP 同步 ,那么 当 它 收 到 IBGP 对 等 体 R3 通告 
的 1.0.0.0/8 路 由 时 ， 缺 省 是 不 会 使 用 该 路 由 的 ， 当 然 也 不 会 将 其 通告 给 EBGP 对 等 体 R2， 
只 有 当 R7 又 从 IGP 协议 〈 例 如 AS 34567 中 运行 的 OSPF) 学 习 到 1.0.0.0/8 路 由 时 ， 或 
者 R7 拥有 到 达 1.0.0.0/8 的 静态 路 由 时 ， 它 才 会 使 用 这 条 BGP 路 由 ， 并 且 将 该 BGP 路 
由 通告 给 R2。 此 时 R7 的 “想法 ”是 :“ 我 现在 已 经 通过 BGP 学 习 到 了 去 往 1.0.0.0/8 的 
路 由 ， 而 我 的 路 由 表 里 又 存在 到 达 该 目的 网 段 的 OSPF 路 由 ， 这 样 看 来 网 络 中 的 设备 应 
该 都 运行 了 OSPF， 并 且 也 都 通过 OSPF 发 现 了 到 达 该 目的 网 段 的 路 由 ， 那 么 如 果 我 将 
到 达 该 目的 网 段 的 数据 包 转 发 出 去 ， 这 些 数据 包 应 该 是 可 以 被 转发 到 目的 地 的 ， 因 此 我 
可 以 放心 地 使 用 该 BGP 路 由 并 且 将 其 通告 给 我 的 EBGP 对 等 体 了 ”。 

在 本 案例 中 ， 要 将 R2 发 往 1.0.0.0/8 的 数据 包 顺 利 地 转发 到 目的 地 ， 可 行 的 办 法 有 
几 种 。 例 如 第 一 个 办 法 是 在 AS 34567 内 的 所 有 路 由 器 上 都 运行 BGP， 也 就 是 让 R4、R5 
及 R6 也 运行 BGP。 然 而 由 于 IBGP 水 平分 割 规则 的 存在 ， 我 们 将 不 得 不 在 AS 34567 内 
实现 I[BGP 对 等 体 关 系 全 互联 ， 从 而 保证 BGP 路 由 不 会 丢失 ,此 时 需 关 闭 设备 上 的 BGP 
同步 规则 。 关 于 这 个 场景 我 们 在 7.1.2 节 中 已 经 讨论 过 了 ， 如 果 AS 34567 内 的 路 由 器 数 
量 特别 大 ， 那 么 IBGP 全 互联 的 组 网 会 给 设备 带 来 沉重 的 负担 ， 而 且 该 网 络 的 可 扩展 性 
也 将 受到 制约 。 此 时 路 由 反射 器 及 联邦 会 是 两 个 不 错 的 解决 方案 。 

第 二 个 办 法 是 R3 将 BGP 路 由 引入 AS 34567 中 的 OSPF， 从 而 让 OSPF 也 能 够 获知 
到 达 1.0.0.0/8 的 路 由 。 这 样 对 于 R7 而 言 这 条 路 由 也 就 满足 了 同步 规则 一 既 从 IBGP 对 等 
体 学 到 ， 又 从 IGP 协议 获知 ， 而 R4、R5 及 R6 也 能 够 通过 OSPF 发 现 到 达 1.0.0.0/8 的 
路 由 ， 因 此 路 由 黑洞 的 问题 也 就 迎刃而解 了 。 当 然 在 R3 上 将 BGP 路 由 引入 OSPF 的 操 
作 需 要 非常 谨慎 地 执行 ， 因为 BGP 承载 的 路 由 信息 往往 是 巨大 的 , 如果 不 做 任何 限制 地 
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直接 将 BGP 路 由 引入 一 个 IGP 协议 ， 送 来 的 影响 会 很 大 。 基 于 上 述 分析 ， 这 种 办 法 并 
非 在 所 有 场景 中 都 适用 。 

第 三 个 办 法 是 采用 MPLS。MPLS (Multi-Protocol Label Switching, 多 协议 标签 交换 ) 
是 一 种 标签 交换 技术 ， 简 单 地 说 ， 就 是 在 一 个 报 文 的 下 头 部 之 前 、 数 据 帧 头 部 之 后 插入 
一 个 标签 头 部 ， 由 于 IP 头 部 “躲藏 ”在 标签 头 部 之 后 ， 因 此 在 数据 从 源 被 转发 到 目的 地 
的 过 程 中 ， 沿 途 的 网 络 设备 只 需 根据 标签 头 部 中 的 标签 进行 选 路 ， 如 此 一 来 即使 转发 设 
备 没 有 到 达 目 的 网 络 的 路 由 也 不 会 影响 数据 转发 ， 因 为 此 时 它们 是 基于 标签 信息 对 报 文 
进行 选 路 及 转发 的 ， 而 不 是 基于 目的 耳 地 址 。 

综 上 所 述 , 解决 BGP 路 由 黑洞 问题 的 方案 很 多 ， 而 且 都 比较 成 熟 , 在 诸多 成 熟 方案 
可 供 选择 的 情况 下 ， 依 然 激活 同步 规则 也 就 显得 没有 意义 了 ， 因 此 在 华为 数 通 产品 上 ， 
BGP 同步 规则 缺 省 是 被 关闭 的 。 


7.1.4 ”路 由 通告 


BGP 路 由 在 对 等 体 之 间 交 互 时 ， 主 要 存在 以 下 几 个 原则 : 

。 当 一 台 路 由 器 发 现 了 多 条 可 到 达 同 一 个 目的 网 段 的 BGP 路 由 时 ， 该 路 由 器 会 通 
过 一 个 路 由 选择 进程 在 这 些 路 由 中 选择 一 条 最 优 (Best) 的 路 由 。 通 常情 况 下 ， 路 由 器 
只 将 最 优 的 路 由 加 载 到 路 由 表 中 使 用 (激活 了 人 负载 分 担 功 能 的 情况 除外 ), 而且 只 会 将 最 
优 的 路 由 通告 给 BGP 对 等 体 。 

e 当 一 台 路 由 器 从 自己 的 EBGP 对 等 体 学 习 到 BGP 路 由 时 ， 缺 省 时 它 会 将 这 些 路 
由 通告 给 所 有 IBGP 对 等 体 及 所 有 EBGP 对 等 体 。 

e 当 一 台 路 由 器 从 自己 的 IBGP 对 等 体 学 习 到 BGP 路 由 时 , 它 不 会 将 这 些 路 由 通告 
给 其 他 IBGP 对 等 体 一 一 IBGP 的 水 平分 割 规则 使 然 。 

。 当 一 台 路 由 器 从 自己 的 IBGP 对 等 体 学 习 到 BGP 路 由 时 , 如 果 BGP 同步 被 激活 ， 
则 路 由 器 只 有 从 IGP 协议 也 学 习 到 相应 的 路 由 时 ， 才 会 将 这 些 BGP 路 由 通告 给 EBGP 
对 等 体 ;， 如 果 BGP 同步 被 关闭 ， 则 即使 没有 从 IGP 协议 学 习 到 相应 的 路 由 ， 它 也 会 将 
这 些 BGP 路 由 通告 给 EBGP 对 等 体 。 





华为 路 由 器 缺 省 关闭 BGP 同步 规则 。 


要 强调 的 是 ， 以 上 讨论 的 所 有 情况 ， 前 提 均 是 BGP 路 由 的 Next-hop 属性 所 填充 的 
下 一 跳 地 址 可 达 。 


.7.1.5 Router-ID 


BGP Router-ID 是 网 络 设备 的 BGP 协议 标识 符 ， 长 度 为 32bit， 与 IPv4 地 址 的 格式 
相同 ， 例 如 192.168.32.1。 在 规划 BGP 网 络 时 ， 需 确保 设备 的 Router-ID 的 唯一 性 。 

BGP 的 Router-ID 可 以 通过 两 种 方式 获取 ， 其 一 是 让 BGP 上 自动 选取 ， 男 一 个 方式 则 
是 通过 手工 配置 的 方式 为 设备 指定 。 当 然 ， 从 网 络 可 靠 性 的 角度 考虑 ， 在 实际 部 普 时 ， 
建议 采用 手工 配置 的 方式 指定 设备 的 Router-ID。 
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7.1.6 ” 报 文 类 型 及 格式 


BGP 主要 使 用 4 种 协议 报 文 。 我们 已 经 知道 , BGP 是 工作 在 TCP 之 上 的 , 使 用 TCP 
目的 奖 口 号 179。BGP 协议 报 文 在 传输 层 采用 TCP 封装 。 两 台 路 由 器 如 果 要 交互 BGP 
路 由 信息 ， 就 必须 建立 BGP 对 等 体 关系 ， 此 时 ， 双 方 能 够 正确 地 建立 TCP 连接 是 一 个 
基本 的 前 提 ， 只 有 路 由 器 之 间 完 成 了 TCP 连接 的 建立 ， 才 能 开始 交互 BGP 协议 报 文 。 

所 有 的 BGP 报 文 都 有 一 个 相同 格式 的 头 部 ， 这 个 头 部 一 共 19byte， 如 图 7-8 所 示 。 


标记 (128bit) 





图 7-8 BGP 报 文 头 部 


e。 标记 《Marker): 该 字段 被 保留 用 十 协议 兼容 性 ， 没 有 其 他 特别 的 含义 。 

。 长 度 (Length): 指示 该 BGP 报 文 的 长 度 ( 字 节 数 )。 

e 类 型 (Type): 指示 了 该 BGP 报 文 的 类 型 ， 和 常见 的 BGP 报 文 类 型 与 类 型 字段 值 
的 对 应 关系 如 下 : 1. Open 报 文 ，2. Update 报 文 ，3. Notification 报 文 ，4. Keepalive 报 文 。 

1. Open 报 文 

我 们 已 经 知道 ， 两 台 BGP 路 由 器 要 想 交 互 BGP 路 由 ， 就 需要 建立 对 等 体 关 系 ， 在 
此 之 前 两 者 需 首 先 建立 TCP 连接 ,一旦 TCP 连接 被 正确 建立 ， 双 方便 开始 交换 Open 报 
文 ，Open 报 文中 包含 设备 所 处 的 AS 号 、BGP 版 本 号 、Router-ID 以 及 一 些 可 选 参数 等 
信息 (例如 用 于 描述 BGP 所 支持 的 一 些 协议 特性 的 参数 等 )， 如 果 路 由 器 认可 对 方 发 送 
过 来 的 Open 报 文 ， 则 立即 回 送 一 个 Keepalive 报 文 以 作 确认 。 图 7-9 所 示 ， 展 示 了 Open 
报 文 的 格式 ， 其 中 各 个 字段 的 描述 如 下 。 


保 活 时 间 (16bit) 


路 由 器 标识 符 (32bit) 
可 选 参数 长 度 (8bit) 

















可 选 参数 〈 变 长 ) 


图 7-9 Open 报 文 的 格式 


。 版 本 (Version): BGP 协议 的 版 本 ,本 章 介绍 的 是 BGPv4, 因此 该 字段 的 值 为 4。 

e。 AS 号 (AS Number): 该 BGP 报 文 发 送 方 所 处 AS 的 号 码 。 

。 保 活 时 间 (Hold Time): 在 多 长 时 间 (以 秒 为 单位 〉 内 必须 收 到 对 方 的 Keepalive 
报 文 或 Update 报 文 ， 否 则 将 该 对 等 体 视 为 无 效 。 在 两 台 BGP 路 由 器 建立 对 等 体 关 系 的 
过 程 中 ， 保 活 时 间 需 要 双方 进行 协商 ， 双 方 配置 的 值 可 以 不 同 ， 但 是 最 终 双方 均 只 认可 
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值 更 小 的 保 活 时 间 。 

e 路 由 器 标识 符 〈Router-ID ): 32bit 的 BGP 路 由 器 标识 符 。 

e。 可 选 参数 长 度 COptional Parameters Length): 指示 了 了 BGP 报 文中 ,可 选 参数 字 
段 的 长 度 ( 衬 市 数 )。 

。 可 选 参数 (Optional Parameters): Open 报 文 里 可 以 包含 多 个 可 选 参数 ， 每 个 可 
选 参数 使 用 类 型 (Type)、 长 度 (Length) 及 值 (Value) 的 三 元 组 格式 描述 。 在 Open 报 
文中 ， 可 选 参数 主要 被 用 于 宣告 及 协商 BGP 对 等 体 的 某 些 能 力 特性 。 









2. Update 报 文 

BGP 路 由 器 使 用 Update 报 文 回 其 对 等 体 通告 路 由 信息 。BGP 在 一 个 Update 报 文 中 
通告 一 条 或 多 条 拥有 相同 路 径 属 性 的 路 由 , 拥有 不 同 的 路 径 属 性 的 BGP 路 由 需 使 用 不 同 
的 Update 报 文 来 通告 。Update 报 文 除了 能 够 用 于 向 
对 等 体 通告 BGP 路 由 ， 还 能 够 用 于 撤销 一 条 或 多 条 

图 7-10 展示 了 Update 报 文 的 格式 ， 其 中 各 个 字 
段 的 描述 如 下 。 

e 撤销 路 由 的 长 度 (Withdrawn Routes Length ): 
Update 报 文中 可 以 包含 0 条 、1 条 或 者 多 条 准备 撤 
销 的 BGP 路 由 。 该 字段 是 一 个 无 符号 整数 ， 它 指示 
了 Update 报 文中 所 包含 的 “撤销 的 路 由 条 目 ” 了 字段 
的 长 度 〈 字 节 数 )。 图 7-10 Update 报 文 格式 

。 撤销 的 路 由 条 目 (Withdrawn Routes): 这 个 字段 用 于 存放 需要 被 撤销 的 BGP 路 
由 前 级 ， 如 果 有 多 条 BGP 路 由 需要 使 用 这 个 Update 报 文 来 撤销 ， 那 么 这 个 字段 将 包含 
一 个 BGP 路 由 前 级 的 列表 , 每 条 BGP 路 由 前 级 包含 两 元 ,分别 是 前 级 长 度 及 路 由 前 级 。 

。 总 路 径 属 性 长 度 〈Total Path Attribute Length): 这 个 字段 指示 了 Update 报 文中 
路 径 属 性 的 总 长 度 。 

。 路 径 属 性 (Path Attributes): 当 BGP 路 由 器 使 用 Update 报 文句 邻居 通告 BGP 
路 由 时 ， 该 报 文中 就 包含 着 路 径 属性 字段 。BGP 定义 了 丰富 的 路 径 属 性 类 型 。 本 章 将 在 
“路 和 任 属 性 ”一 节 中 详细 介绍 常见 的 BGP 路 径 属 性 。 

。 网 络 层 可 达 信 息 (Network Layer Reachability Information ): 这 个 字段 用 于 存放 
需要 被 被 通告 的 BGP 路 由 前 级 , 如 果 有 多 条 BGP 路 由 需要 使 用 这 个 Update 报 文 来 通告 ， 
那么 这 个 字段 将 包含 一 个 BGP 路 由 前 级 的 列表 ， 每 条 BGP 路 由 前 级 包含 两 元 ， 分 别 是 
前 级 长 度 及 路 由 前 级 ， 当 然 ， 一 个 Update 报 文 用 于 通告 拥有 相同 路 径 属 性 的 路 由 前 绥 。 

3. Keepalive 报 文 

BGP 是 基于 TCP 工作 的 , 它 可 以 依赖 TCP 实现 协议 的 可 靠 性 ,但 是 它 并 不 依赖 TCP 
的 保 活 机 制 ， 而 是 使 用 周期 性 发 送 的 Keepalive 报 文 来 了 解 对 等 体 的 存活 情况 。BGP 路 
由 器 会 为 对 等 体 维护 一 个 保 活 计时 器 (Hold Timer)， 如 果 保 活 计 时 器 超时 ， 则 BGP 对 
等 体 被 视 为 不 可 达 ， 此 时 BGP 对 等 体 关 系 需 要 重新 建立 。 对 等 体 之 间 周 期 性 交互 的 
Keepalive 报 文 可 以 刷新 保 活 计时 器 ， 防 止 该 计时 器 超时 。BGP 路 由 露 周期 性 发 送 
Keeaplive 报 文 的 时 间 间 隔 缺 省 为 1/3 的 保 活 计时 器 时 间 ， 在 华为 的 数 通 产品 上 ， 保 活 计 
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时 器 的 时 间 缺 省 为 1808， 因 此 和 缺 省 时 ，Keepalive 报 文 的 周期 性 发 送 间 隔 为 60s。 

在 BGP 对 等 体 关 系 的 建立 过 程 中 ，Keepalive 报 文 还 用 于 确认 对 方 发 送 过 来 的 Open 
报 文 。 

4，、Notification 报 文 

当 BGP 检测 到 一 个 错误 时 ， 它 可 以 使 用 Notification 报 文 来 告知 对 等 体 。 图 7-11 展 
示 了 Notification 报 文 的 格式 。 


图 7-11 Notification 报 文 格式 
e。 错误 代码 (Error Code): 该 字段 的 值 是 一 个 无 符号 整数 ， 指 示 了 错误 的 类 型 。 
e 错误 子 代 码 〈《Error Subcode): 在 错误 代码 的 基础 上 进一步 指示 错误 的 类 型 。 
e。 数据 (Data): 这 个 字段 用 于 描述 错误 的 原因 。 





对 于 错误 代码 、 错 误 子 代码 以 及 其 所 象征 的 含义 ， 超 出 了 本 书 的 范围 。 
7.1.7 查看 BGP 对 等 体 


两 台 BGP 路 由 器 需要 首先 建立 对 等 体 关 系 , 然后 才能 够 正常 交互 BGP 路 由 。 在 BGP 
中 ， 一 台 设 备 的 BGP 对 等 体 需要 网 络 管理 员 通 过 命令 手工 指定 ， 也 就 是 说 BGP 无 法 自 
动 发 现 其 他 对 等 体 。 当 两 台 需 建立 对 等 体 关 系 的 BGP 路 由 器 完成 配置 后 ,双方 需 首先 建 
六 TCP 连接 ，TCP 连接 建立 完成 后 双方 开始 交换 Open 报 文 ， 如 果 一 方 认 可 对 方 发 送 过 
来 的 Open 报 文 ， 则 使 用 Keepalive 报 文 进行 回应 。 如 果 路 由 器 收 到 了 BGP 对 等 体 发 来 
的 、 用 于 确认 自己 先前 发 送 的 Open 报 文 的 Keepalive 报 文 ， 这 意味 着 对 方 已 经 认可 了 自 
己 所 发 的 Open 报 文中 的 相关 参数 ， 则 该 路 由 器 认为 已 经 与 对 方 完成 了 BGP 对 等 体 关系 
建立 ， 此 时 双方 便 可 以 开始 交互 Update 报 文 ， 而 Update 报 文中 便 包 含 路 由 器 所 通告 的 
路 由 信息 。 

在 路 由 器 上 ， 使 用 display bgp peer 命令 可 以 看 到 该 设备 所 指定 的 BGP 对 等 体 ， 
及 当前 所 处 的 状态 (State 列 ): 


<Rl>display bgp peer 


BG?P local router ID : 1.1.,1.1 
Local AS number : 12 


Total number of peers : 2 Peers in established state : 2 
Peer V AS MsgRevd MsgSent OutQ Up/Down State Pref 
Reyv 
10.1.12.2 4 全 和 9 0 00:06:12 Established 1 
O0133 “4 12™° 9 00:05:19 Established 1 


在 以 上 输出 中 ，R1 存在 两 个 Te 对 等 体 (R1 的 本 地 AS 号 与 它们 的 AS 号 都 相 
同 )， 并 且 它 与 这 两 个 对 等 体 之 间 的 状态 为 Established， 这 意味 着 R1 与 它们 已 经 完成 了 
对 等 体 关 系 建 立 。 
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7.1.8 ”BGP 路 由 表 


当 设 备 运 行 BGP 后 ， 它 会 维护 BGP 路 由 表 (BGP Routing Table)，BGP 路 由 表 也 被 
简称 为 BGP 表 ， 在 该 数据 表 中 ， 存 储 着 设备 发 现 的 所 有 BGP 路 由 。 当 设备 从 其 他 对 等 
体 接收 BGP 路 由 后 ， 它 可 以 针对 这 些 路 由 施加 入 方向 〈Import) 的 路 由 策略 “例如 路 由 
过 滤 ， 或 者 修改 路 由 的 路 径 属 性 等 )， 这 些 路 由 策略 执行 完 后 ， 被 处 理 过 的 路 由 才 会 被 加 
载 到 其 BGP 路 由 表 中 。 

当 设 备 发 现 了 多 条 到 达 相 同 目的 网 段 的 BGP 路 由 时 ， 它 会 将 这 些 路 由 都 加 载 到 目 己 
的 BGP 路 由 表 中 ， 当 然 ， 无 论 到 达 同 一 个 目的 网 段 存 在 多 少 条 路 由 ， 最 终 都 将 只 有 一 条 
最 优 的 路 由 会 被 选择 ， 只 有 该 条 路 由 才 具 备 被 加 载 到 设备 全 局 路 由 表 的 资格 〈 在 没有 配 
置 BGP 路 由 负载 分 担 的 情况 下 )。BGP 定义 了 一 套 详细 的 规则 ， 用 于 进行 最 优 路 由 的 

使 用 display bgp routing-table 命令 可 以 查看 设备 的 BGP 路 由 表 ， 例 如 : 

<Nihao>display bgp routing-table 

BGP Local router ID is 2.2.2.2 

~ Status codes: * - valid, > - best, d - damped, 


h-history, i- internal,s- Suppressed, 3 - Stale 
Origin :; i- IGP, e - EGP, ? - ncomplete 


Total Number of Routes: 3 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*»3 172,16,.1.0A24 和 0 100 0 i 
机 10.41.23 0 0 300i 


*> 92.168.3.0 IO 23.3 0 0 300i 

以 上 输出 的 是 某 台 系统 名 称 为 Nihao 的 设备 的 BGP 路 由 表 , 从 中 大 家 能 看 到 该 设备 
发 现 的 BGP 路 由 。 每 条 BGP 路 由 都 会 被 执行 可 用 性 检查 ， 设 备 会 计算 每 条 BGP 路 由 的 
Next Hop 的 可 达 性 ， 如 果 在 其 全 局 路 由 表 中 查询 到 了 去 往 Next_Hop 的 路 由 ， 则 该 BGP 
路 由 被 视 为 可 用 (Valid)， 否 则 视 为 不 可 用 (Invalid)。 在 BGP 路 由 表 中 ， 可 用 的 BGP 
路 由 在 行 首 会 有 星 号 “*” 标 记 ， 相 反 ， 不 可 用 的 路 由 则 没有 该 标记 。 

大 家 可 能 留意 到 了 ，Nihao 发 现 了 两 条 到 达 目 的 网 段 172.16.1.0/24 的 BGP 路 由 ， 这 
两 条 路 由 的 Next Hop 分 别 为 1.1.1.1 及 10.1.23.3， 设 备 会 在 这 两 条 路 由 间 进 行 决策 ， 选 
择 一 条 最 优 的 路 由 ， 最 优 路 由 在 行 首 会 拥有 类 插 号 “>” 标 记 ， 在 本 例 中 ，Next_Hop 为 
1.1.1.1 的 172.16.1.0/24 路 由 被 优选 。 






Next_Hop 不 可 达 的 不 可 用 路 由 是 不 会 参与 最 优 路 由 的 竞争 的 。 

另外 ， 从 IBGP 对 等 体 学 习 到 的 路 由 会 标记 “i”(i 意 为 intermal。 注 意 该 标记 的 位 置 ， 
是 在 行 首部 ， 而 不 是 尾部 )， 如 果 该 路 由 学 习 自 EBGP 对 等 体 ， 则 没有 该 标记 。 

从 BGP 路 由 表 中 ， 大 家 还 能 观察 到 每 条 路 由 的 主要 路 径 属性 ， 例 如 Next_Hop、 
MED、Local Preference (LocPrf 列 )、Preferred Value (Prefval 列 )、AS_Path (Path 列 ) 
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及 Origin (Ogn 列 ) 等 。 在 display bgp routing-table 命令 中 增加 特定 路 由 前 级 ， 可 以 查 
看 该 路 由 的 完整 信息 ， 例 如 : 


<Nihao>display bgp routing-table 172.16.1.0 


BG?P local router ID : 2.2.2.2 
Local AS number : 12 
Paths: 2 available, 1 best, 1 select 
BGP routing table entry information of 172,16.1.0/24: 
From: 1.1.1.1 (1.1.1.1) 
Route Duration: 00h17m23s 
Relay IP Nexthop: 10.1.12.1 
Relay IP Out-Interface: GigabitEthemet0/0/0 
Original nexthop: 1.1.1.1 
Qos information : Ox0 
AS-path Nil, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, best, select, active, pre 255, IGP cost 1 
Advertised to such 1 peers: 
10.1.23.3 
BGP routing table entry information of 172.16.1.0/24: 
From: 10.1.23.3 (3.3.3.3) 
Route Duration: 00h16m42s es 
Direct Out-interface: GigabitEthernet0/0/1 
Original nexthop: 10.1.23.3 
Qos information : Ox0 
AS-path 300, origin igp, MED 0, pref-val 0, valid, external, pre 255, not preferred for AS-Path 
Not advertised to any peer yet 


以 上 是 在 Nihao 上 查看 172.16.1.0/24 路 由 的 详细 信息 后 得 到 的 输出 ， 由 于 到 达 该 
的 网 段 存 在 两 条 BGP 路 由 ， 因 此 从 输出 的 结果 中 大 家 能 看 到 这 两 条 路 由 ， 以 及 2 
种 路 径 属 性 。 


7.1.9 ”将 路 由 发 布 到 BGP 


可 以 使 用 3 种 方法 将 路 由 发 布 到 BGP: 使 用 network 命令 、 使 用 import-route 命令 
或 使 用 aggregate 命令 。 与 IGP 协议 不 同 ，BGP 并 不 上 自动 发 现 路 由 ， 而 是 需要 网 络 管理 
员 通过 这 3 种 方法 将 路 由 发 布 到 BGP。 

1. 使 用 network 命令 将 路 由 发 布 到 BGP 

第 1 种 将 路 由 发 布 到 BGP 的 方法 是 在 设备 的 BGP 配置 视图 中 ， 使 用 network 命令 
将 其 路 由 表 中 的 直 连 路 由 、 静 态 路 由 或 通过 IGP 协议 学 习 到 的 路 由 发 布 到 BGP。 

关于 network 命令 ， 相 信 各 位 读者 都 不 会 陌生 ， 我 们 熟知 的 IGP 协议 ， 诸 如 RIP、 
OSPF 等 都 使 用 该 命令 。 然 而 ，IGP 协议 中 的 network 命令 ， 与 BGP 中 的 network 命令 
存在 根本 性 差异 。 

以 OSPF 为 例 ， 如 图 7-12 所 示 ， 当 我 们 在 R2 的 OSPF 配置 视图 中 ， 使 用 network 
命令 指定 10.1.12.0/24 及 10.1.23.0/24 网 段 后 , R2 将 在 其 GE0/0/0 及 GE0/0/1 接口 上 激活 
OSPF， 并 且 开 始 发 送 及 侦 听 Hello 报 文 ， 试图 在 直 连 链 路 上 发 现 其 他 OSPF 邻居 。 随 后 ， 
R2 会 在 其 GE0/0/0 接口 上 与 R1 建立 OSPF 邻接 关系 、 在 GE0/0/1 接口 上 与 R3 建立 邻接 
关系 ， 并 开始 泛 洪 LSA， 在 其 泛 洪 的 Type-1 LSA 中 ， 包 含 关 于 直 连 接口 GE0/0/0 及 
GE0/0/1 的 描述 ， 最 终 R1 能 够 通过 OSPF 学 习 到 10.1.23.0/24 路 由 ， 而 R3 也 能 学 习 到 
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10.1.12.0/24 路 由 。 





OSPF 邻接 OSPF 邻接 
ssoveossassaaneecesss0smsasD err 
&3 10.1.12.0/24 下 10.1.23.0/24 < 
GEO/0/0 GEO/0/1 
RI R2 R3 


图 7-12 network 命令 在 OSPF 中 的 使 用 


与 OSPF 不 同 , 在 BGP 配置 视图 中 执行 的 network 命令 并 不 用 于 在 指定 网 段 ( 接 口 ) 
上 激活 BGP， 而 是 用 于 问 BGP 发 布 路 由 ， 而 且 BGP 的 network 命令 不 仅仅 能 用 于 将 直 
连 路 由 发 布 到 BGP， 实 际 上 ,- 该 设备 路 由 表 中 的 直 连 路 由 、 静 态 路 由 以 及 通过 IGP 协议 
学 习 到 的 动态 路 由 都 能 使 用 network 命令 发 布 到 BGP。 

在 图 7-13 中 ， 以 R1 与 R2 为 例 ， 它 们 之 间 如 果 要 建立 BGP 对 等 体 关 系 ， 则 两 台 设 
备 需 分 别 使 用 peer 命令 指定 对 方 ， 换 句 话 说 ，BGP 无 法 像 OSPF 那样 ， 上 自动 发 现 邻 居 ， 
而 是 需要 网 络 管理 员 手 工 指定 。 另 外 ， 设 备 之 间 的 BGP 对 等 体 关 系 建立 完成 后 ，BGP 
是 无 法 自动 发 现 路 由 的 ， 初 始 时 R1、R2 及 R3 的 BGP 路 由 表 均 为 室 。 如 果 期 望 R3 能 
够 通过 BGP 获知 到 达 10.1.12.0/24 网 段 的 路 由 ， 那 么 可 以 在 R2 的 BGP 配置 视图 中 使 用 
network 命令 将 直 连 路 由 10.1.12.0/24 发 布 到 BGP， 从 而 通过 BGP Update 报 文 将 路 由 通 
告 给 R3。 

ed BGP 并 等 体 人 
10.1.12.0/24 10.1.23.0/24 
GEO/0/0 








bo 
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图 7-13 network 命令 在 BGP 中 的 使 用 


再 如 ， 图 7-13 中 R1 与 R2 建立 了 BGP 对 等 体 关 系 ， 同 时 它 又 运行 痢 OSPF 并 且 与 
OSPF 网 络 中 的 设备 建立 了 邻接 关系 ， 那 么 R1 可 以 在 其 BGP 配置 视图 中 使 用 network 
命令 将 其 路 由 表 中 的 OSPF 路 由 发 布 到 BGP， 从 而 使 得 R2 及 R3 能 够 通过 BGP 学 习 到 
这 些 路 由 。 需 再 次 强调 的 是 ，BGP 中 的 network 命令 ， 只 用 于 向 BGP 发 布 路 由 ， 而 并 
不 能 够 在 设备 的 接口 上 激活 BGP，BGP 的 对 等 体 是 需要 显 式 地 通过 peer 命令 指定 的 。 

2. 使 用 import-route 命令 将 路 由 引入 BGP 

另 一 个 向 BGP 发 布 路 由 的 方式 是 在 设备 的 BGP 配置 视图 中 使 用 import-route 命令 
将 外 部 路 由 引入 BGP。BGP 中 的 import-route 命令 与 IGP 协议 中 的 该 条 命令 功能 相同 。 
Import-route 命令 可 以 将 设备 路 由 表 中 的 直 连 路 由 、 静 态 路 由 或 通过 IGP 协议 学 习 到 的 
动态 路 由 引入 BGP。 在 图 7-13 中 ， 我 们 可 以 在 R1 的 BGP 配置 视图 中 使 用 import-route 
命令 将 其 路 由 表 中 的 OSPF 路 由 引入 BGP。 当 然 ， 使 用 BGP 的 network 命令 也 可 以 将 
R1 路 由 表 中 的 OSPF 路 由 发 布 到 BGP， 只 不 过 每 发 布 一 条 OSPF 路 由 到 BGP， 便 需要 
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使 用 一 条 network 命令 ， 如 果 需 要 发 布 大 量 OSPF 路 由 到 BGP， 使 用 import-route 命令 

关于 BGP 中 的 network 与 import-route 命令 ， 还 存在 男 一 个 差异 。 在 BGP 的 众多 
路 径 属 性 中 ， 有 一 个 属性 是 所 有 BGP 路 由 都 必须 携带 的 ， 那 就 是 Origin 属性 ， 该 属性 
用 于 描述 一 条 路 由 是 如 何 被 发 布 到 BGP 的 (路 由 的 来 源 )， 使 用 以 上 两 个 命令 将 路 由 发 
布 到 BGP 时 ， 路 由 的 Origin 属性 是 不 同 的 。 

3. 使 用 aggregate 向 BGP 发 布 汇总 路 由 

与 众多 动态 路 由 协议 一 样 ，BGP 同样 支持 路 由 的 手工 汇总 ， 在 BGP 配置 视图 中 ， 
使 用 aggregate 命令 ， 可 执行 BGP 路 由 手工 汇总 。 该 命令 生效 的 前 提 是 ， 设 备 已 经 通过 
BGP 学 习 到 了 明细 路 由 ， 之 后 再 使 用 该 命令 ， 则 可 使 设备 回 BGP 发 布 指定 的 汇总 路 由 。 


7.2 ”路径 属性 


任何 一 条 BGP 路 由 都 拥有 多 个 路 径 属 性 (Path Attributes)， 当 路 由 器 将 BGP 路 由 通 

告 给 它 的 对 等 体 时 ， 一 并 被 通告 的 还 有 路 由 所 携带 的 各 个 路 径 属性 ， 如 图 7-14 所 示 。 以 

现实 生活 中 的 房子 为 例 ， 每 套房 子 都 有 各 种 属性 ， 例 如 房子 的 总 面积 、 房 间 数 量 、 装 修 

的 豪华 程度 、 楼 层 高 度 、 房 子 的 朝向 以 及 周边 配套 设施 等 。 在 购买 一 套房 子 的 时 候 ， 每 

个 人 心中 目 然 是 有 目 己 的 想法 和 需求 ， 当 然 ， 房 子 的 各 项 属性 都 有 可 能 会 影响 购房 者 的 

购买 决策 。 对 于 BGP 而 言 ，BGP 路 径 属性 描述 了 该 条 路 由 的 各 项 特征 ， 同 时 ， 路 由 所 
携 市 的 路 径 属 性 也 将 在 茶 些 场景 下 影响 BGP 路 由 优选 的 决策 。 






AS 64512 


BGP 路 由 10.1.1.0/24 
Origim=LIGP 

AS Path=64512 
Next Hop=10.1.12.1 
MED=500 


BGP 路 由 10.1.1.0/24 所 携带 的 
路 径 属 性 (Path Attributes) 
图 7-14 每 条 BGP 路 由 都 携带 着 多 个 路 径 属 性 


BGP 设计 了 丰富 的 路 径 属 性 ， 每 条 BGP 路 由 都 携带 着 多 个 路 径 属 性 ， 这 些 路 径 属 
性 都 有 各 目的 定义 及 功能 。 当 BGP 发 现 了 多 条 到 达 同 一 个 目的 网 段 的 路 由 【或 者 说 路 
径 ) 时 ， 每 条 BGP 路 由 的 路 径 属 性 值 将 会 作为 该 路 由 是 否 被 优选 的 依据 ，BGP 将 按照 
一 定 的 规则 进行 决策 ， 最 终 在 这 些 路 由 中 选择 一 条 最 优 的 路 由 。 当 然 我 们 可 以 根据 实际 
业务 需要 ， 对 BGP 路 由 的 路 径 属 性 进行 修改 ， 从 而 影响 BGP 路 由 优选 的 决策 。BGP 提 
供 了 丰富 了 路 由 策略 工具 ， 使 得 我 们 针对 路 由 的 路 径 属 性 的 操控 更 加 地 有 灵活 和 便捷 。 
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RFC 4271 将 BGP 路 径 属 性 分 为 两 大 类 : 公认 (Well-known) 及 可 选 (Optional)， 
其 中 公认 属性 是 所 有 BGP 路 由 器 必须 都 能 够 识别 的 路 径 属 性 , 而 可 选 属性 则 不 要 求 所 有 
的 BGP 路 由 费 部 必须 能 够 识别 。 

公认 属性 里 分 了 两 个 子 类 : 强制 (Mandatory) 及 目 由 决定 (Discretionary)， 其 中 强 
制 属 性 指 的 是 当 BGP 路 由 器 使 用 Update 报 文通 告 路 由 更 新 时 必须 携带 的 路 径 属 性 ， 而 
目 由 决定 属性 则 不 要 求 Update 报 文中 必须 携带 。 

可 选 属性 里 也 分 了 两 个 子 类 : 传递 (Transitive) 及 非 可 传递 (Non-transitive )， 其 中 
对 于 传递 属性 ， 如 果 BGP 路 由 器 不 能 够 识别 该 路 径 属 性 , 那么 也 应 该 接受 携带 该 路 径 属 
性 的 BGP 路 由 更 新 ， 并 且 当 路 由 需 将 该 路 由 通告 给 其 他 对 等 体 时 必须 携 珊 该 路 径 属 性 ， 
而 对 于 非 可 传递 属性 , 如果 BGP 路 由 器 不 能 够 识别 该 属性 , 那么 该 路 由 右 将 会 忽略 携 种 
该 路 径 属 性 的 BGP 路 由 更 新 且 不 将 该 路 由 通告 给 其 他 BGP 对 等 体 。 

综 上 ，BGP 路 径 属 性 可 分 为 4 种 类 型 ， 每 种 类 型 中 包含 的 路 径 属性 如 下 。 

(1) 公认 强制 (Well-known Mandatory ) 

e Origin 

e AS Path 

e Next Hop 

(2) 公认 自由 决定 (Well-known Discretionary) 

® Local Preference 

e Atomic Aggregate 

(3) 可 选 传递 《Optional Transitive ) 

e Community 

e Aggregator 

(4) 可 选 非 传递 COptional Non-transitive ) 

e MED 

e Originator [ID 

e Cluster List 

接 下 来 的 内 容 将 回 大 家 详细 地 介绍 BGP 的 各 种 常见 的 路 径 属 性 。 学 习 完 本 节 之 后 ， 
我 们 应 该 能 够 。 

e 理解 Preferred Value 属性 ; 

e。 理解 Local Preference 属性 ; 

。 理解 AS_Path 属性 ; 

e 理解 Origin 属性 ; 

。 理解 MED 属性 ; 

。 理解 Next Hop 属性 ; 

e 理解 Atomic Aggregate 及 Aggregator 属性 ; 

e。 理解 Community 属性 。 


7.2.1 Preferred Value 
Preferred_ Value 是 一 个 华为 私有 的 路 径 属 性 ， 可 以 理解 为 路 由 的 “权重 ”。 该 属性 值 


298 HCNP 路 由 交换 学 习 指南 


的 取 值 的 范围 是 0 一 6$$35， 该 值 越 大 则 路 由 的 优先 级 越 高 。 值 得 踢 调 的 是 ，Preferred 
Value 只 在 本 地 有 效 ， 而 且 绝 对 不 会 被 传递 给 其 他 对 等 体 《〈 不 会 出 现在 Update 报 文中 )。 
所 以 对 于 这 个 属性 ， 形 象 一 点 的 理解 是 一 “一 条 路 由 〈 路 径 ) 在 我 心中 的 权重 值 >， 既 然 
是 在 目 己 “心中 ”， 那 么 这 个 属性 值 目 然 是 不 能 传递 给 别人 的 ， 只 有 目 己 知道 。 

在 图 7-15 所 示 的 网 络 中 ,AS 100 中 的 10.1.0.0/16 路 由 被 R1 通 过 BGP 通 告 给 了 EBGP 
对 等 体 R2 及 R3， 而 R2 及 R3 也 都 会 将 这 条 BGP 路 由 通告 给 自己 的 对 等 体 R4。 现 在 
R4 会 分 别 从 R2 及 R3 各 学 习 到 一 条 到 达 该 ， 
网 段 的 BGP 路由。 此 时 R4 会 做 一 个 决策 。 | AS 100 
一 个 路 由 (或 者 说 路 径 ) 优选 的 决策 ， 也 就 | 





是 在 这 两 条 路 径 之 间 做 比较 ， 最 终 选 择 一 条 = / \ = 
最 优 的 路 径 。 | R2 #4 AS200| 
当 路 由 器 从 其 对 等 体 学 习 到 一 条 BGP | 


和 ~ 


Preferred Value 值 ， 这 个 值 缺 省 为 0。 如 宁 布 
望 通过 操控 Preferred Value 从 而 使 得 R4 优 选 
R2 这 条 路 径 , 则 可 以 在 R4 上 部 昔 BGP 路 由 
策略 ， 将 它 从 R2 学 习 到 的 BGP 路 由 的 
Preferred Value 值 调节 得 更 大 《例如 6000 )。 
如 此 一 来 R4 将 优选 R2 通告 过 来 的 BGP 路 由 。 需 要 注意 的 是 ， 这 个 策略 的 部 蜀 只 能 

在 R4 上 完成 ,而且 只 能 对 R4 自身 产生 作用 , 如 果 此 时 R4 另外 连接 着 一 个 BGP 对 等 体 ， 
那么 当 它 将 该 BGP 路 由 通告 给 该 对 等 体 时 ， 是 绝对 不 会 携带 Preferred Value 属性 的 。 


路 由 时 ， 它 会 在 本 地 为 这 条 路 由 分 配 一 个 Ws 
| 
| 


ON eh WO AN ON ets ee 00 Hs tt TT dee ewe VV tlm eh 0 Pet © weer pe a 


BGP 路 由 通告 
一 一 人 


图 7-1$ ”Preferred Value 对 路 由 优选 的 影响 


7.2.2 Local Preference 


Local Preference〈 本 地 优先 级 ) 属性 是 一 个 公认 上 自由 决定 属性 ， 该 路 径 属 性 只 能 在 
IBGP 对 等 体 之 间 传 递 ， 当 路 由 被 通告 给 EBGP 对 等 体 时 ， 是 禁止 携带 该 属性 的 。 因 此 
Local Preference 属性 只 能 够 在 一 个 AS 内 部 传递 ， 这 就 是 “本 地 ”的 含义 。 

如 果 一 个 AS 拥有 多 个 BGP 出 口 , 而且 同一 个 AS 内 的 BGP 路 由 右 通 过 这 些 出 口 均 
可 到 达 同 一 个 目的 地 ， 那 么 Local Preference 属性 可 被 该 -AS 用 于 告知 本 AS 内 的 BGP 
路 由 器 哪 一 个 出 口 更 优 。Local Preference 属性 的 取 值 范围 是 0 一 4294967295， 值 越 大 则 
路 由 越 有 可 能 被 优选 。 

在 图 7-16 所 示 的 网 络 中 ，R1 将 AS 100 内 的 10.2.0.0/16 路 由 通过 BGP 通告 给 EBGP 
对 等 体 R2 及 R3。 注 意 ， 这 条 EBGP 路 由 在 被 通告 给 R2 及 R3 时 是 不 能 携带 Local_ 
Preference 属性 的 。 当 R2 及 R3 从 EBGP 对 等 体 学 习 到 这 条 路 由 时 , 它们 会 为 这 条 EBGP 
路 由 在 本 地 关联 一 个 Local Preference 属性 值 〈 这 个 值 缺 省 为 100， 可 以 在 BGP 配置 视 
图 下 使 用 default local-preference 命令 修改 该 缺 省 值 )， 而 当 它 们 将 路 由 通告 给 IBGP 对 
等 体 R4 时 ， 路 由 将 携带 该 Local Preference 属性 值 。 此 时 R4 会 分 别 从 R2 及 R3 学 习 到 
去 往 10.2.0.0/16 的 BGP 路 由 ， 但 是 这 两 条 路 由 的 Local Preference 均 为 100， 因 此 R4 
无 法 根据 该 属性 做 出 路 由 优选 的 决策 。 现 在 如 果 期 望 R4 使 用 R2 这 条 路 径 到 达 
10.2.0.0/16， 那 么 就 可 以 在 R2 上 部 署 BGP 路 由 策略 ,将 其 通告 给 R4 的 该 路 由 的 Local 
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Preference 设置 为 200《 比 R3 所 通告 路 由 的 Local_Preference 属性 值 更 大 )， 在 其 他 条 件 
相同 的 情况 下 ，R4 将 优选 Local Preference 值 更 大 的 路 径 到 达 目 标 网 段 。 
LP=Local_Preference 


AS 100 






R2 #7 7 RS 
| 
| 


10.2.0.0/16 10.2.0.0/16 
| LP=200 LP=100 
l 


| AS 234 Rd4 Eo : 
BGP 路 由 通告 
一 一 一 一 一 


图 7-16 ”Local Preference 对 路 由 优选 的 影响 


7.2.3 AS Path 


AS_Path 是 公认 强制 属性 ， 它 描述 了 一 条 BGP 路 由 在 传递 过 程 中 所 经 过 的 AS 的 号 
码 。 一 台 路 由 器 在 将 BGP 路 由 通告 给 自己 的 EBGP 对 等 体 时 ， 会 将 本 地 的 AS 号 插入 到 
该 路 由 原 有 AS_Path 之 前 。AS_Path 实际 上 是 一 个 有 长 度 的 AS 号 码 列表 。 从 上 面 的 描 
述 也 可 以 看 出 ，BGP 路 由 的 AS Path 只 在 EBGP 对 等 体 之 间 发 生 改变 ， 当 BGP 路 由 在 
一 个 AS 内 传递 时 〈 路 由 被 通告 给 自己 的 IBGP 对 等 体 )， 该 路 由 所 携带 的 AS_Path 是 不 
会 发 生 改变 的 。 

AS_Path 有 两 个 非常 重要 的 作用 ， 一 是 可 以 实现 EBGP 路 由 的 环 路 避免 ， 如 果 路 由 
右 收 到 一 条 BGP 路 由 并 且 发 现 该 路 由 携带 的 AS_Path 中 出 现 了 自己 所 在 AS 的 AS 号 ， 
它 意识 到 从 本 地 AS 通告 出 去 的 BGP 路 由 又 被 通告 回 了 该 AS， 如 果 它 接收 这 条 路 由 ， 
那么 就 有 可 能 引发 路 由 环 路 ， 因 此 针对 这 种 情况 ，BGP 将 忽略 关于 该 条 路 由 的 更 新 。 
AS_Path 的 男 一 个 功能 是 用 于 BGP 路 由 优选 的 决策 。 我们 知道 AS_Path 实际 上 是 一 个 列 
表 ，AS _Path 的 属性 值 呈现 出 来 就 是 0 个 、1 个 或 多 个 AS 号 ， 那么 既然 是 列表 它 就 有 长 
度 ， 当 BGP 使 用 AS_Path 作为 路 由 优选 的 依据 时 ，AS_Path 越 短 则 该 路 由 被 视 为 越 优 ， 
因为 这 条 路 径 距 离 目 的 地 所 要 经 过 的 AS 个 数 更 少 。 

在 图 7-17 中 ，R2 将 路 由 10.3.0.0/16 发 布 到 BGP 并 通告 给 自己 的 IBGP 对 等 体 R1， 
值得 注意 的 是 ， 此 时 该 BGP 路 由 所 携带 的 AS_Path 属性 值 为 空 ， 而 且 路 由 在 AS 12 内 
传递 的 过 程 中 , 其 AS_Path 不 发 生 改 变 。 接 着 R1 将 10.3.0.0/16 路 由 通告 给 目 己 的 EBGP 
对 等 体 R3 及 R4。 由 于 此 时 这 条 BGP 路 由 要 被 传 出 本 地 AS， 因 此 R1 在 路 由 原 有 的 
AS_Path 的 基础 上 插入 本 地 的 AS 号 12， 如 此 一 来 这 条 EBGP 路 由 的 AS_Path 就 只 包含 
了 一 个 AS 号 。R3 接收 这 条 EBGP 路 由 后 ， 会 将 这 条 路 由 通告 给 上 自己 的 EBGP 对 等 体 
R4， 它 将 本 地 AS 号 300 插入 到 路 由 原 有 的 AS_Path 之 前 ， 那 么 该 路 由 的 AS_Path 属性 
值 变 成 了 300 12。 这 样 R4 将 从 Rl 及 R3 各 学 习 到 一 条 到 达 10.3.0.0/16 的 EBGP 路 由 ， 
它 将 在 这 两 条 路 由 中 选择 一 条 最 优 的 路 由 。 
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| 10.3.0.0/16 
AS_Path=12 


, | 10.3.0.0/16 
| AS300 人 二 R3 | AS_Path=12 
poe SI Saar .aconasns mt 
| AS_Path=300 12 


\ AS 400 | 
BGP 路 由 通告 
= 一 一 一 一 一 公 
图 7-17 AS Path 属性 的 作用 


R1 通告 过 来 的 10.3.0.0/16 路 由 的 AS_Path 属性 值 为 12， 而 R3 通告 过 来 的 路 由 AS_Path 
属性 值 为 300 12，R4 认为 从 Rl 到 达 目 标 网 段 所 要 经 过 的 AS 个 数 比 从 R3 到 达 目 标 网 段 所 
击 经 过 的 AS 个 数 更 少 ， 因 此 在 其 他 条 件 相 同 的 情况 下 ， 从 R1 到 达 该 网 段 的 路 径 要 更 优 。 

再 考虑 另 一 种 情况 , 如 果 R2 与 R4 之 间 增 加 一 条 互联 链 路 并 且 两 者 基于 该 链 路 建立 
EBGP 对 等 体 关 系 ， 那 么 R4 从 R1 学 习 到 的 10.3.0.0/16 路 由 是 否 又 会 被 其 通告 给 R2， 
从 而 导致 这 条 路 由 被 发 回 AS 12 呢 ? 我 们 已 经 知道 , 当 路 由 器 收 到 一 条 BGP 路 由 并 且 在 
该 路 由 携带 的 AS_Path 中 发 现 了 自己 所 处 AS 的 号 码 时 ， 它 将 忽略 这 条 路 由 ， 因 此 不 用 
担心 10.3.0.0/16 路 由 在 这 个 场景 中 发 生 环 路 。 

一 条 BGP 路 由 被 始 发 路 由 器 发 布 到 BGP 时, 该 路 由 的 AS Path 属性 值 缺 省 为 室 ， 当 
该 路 由 被 始 发 路 由 器 通告 给 IBGP 对 等 体 时 ，AS_Path 属性 必须 被 携带 (虽然 此 时 属性 值 
为 空 )， 当 然 ， 当 该 路 由 被 传 出 始 发 AS 时 ， 该 AS 的 号 码 将 被 附加 到 路 由 原 有 的 AS_Path 
属性 值 之 前 。 一 条 BGP 路 由 的 AS_Path 属性 值 (如 果 为 非 空 ) 是 由 一 种 或 者 多 种 AS_Path 
片段 (AS_Path Segment) 组 成 的 ，AS 号 人 码 被 填写 在 相应 类 型 的 AS_Path 片段 中 。BGP 设 
计 了 4 种 AS Path 卢 段 类 型 ， 其 中 两 种 是 AS Sequence 及 AS Set。 平时 大 家 接触 得 比较 
多 的 应 该 是 AS_Sequence 这 种 类 型 的 AS_Path 片段 ， 该 类 型 AS Path 片段 中 存储 的 是 有 序 
的 AS 号 , 例如 本 市 中 所 描述 的 场景 ，R3 通告 给 R4 的 10.3.0.0/16 路 由 的 AS_Path 属性 值 
为 300 12，R4 收 到 该 路 由 后 便 知道 ， 要 从 R3 到 达 10.3.0.0/16， 需 依次 经 过 AS 300 及 AS 
12。 关 于 AS_Set 类 型 的 AS_Path 片段 ， 本 书 将 在 “Atomic_ Aggregate 及 Aggregator” 一 
节 中 介绍 ; 关于 AS_Path 的 男 外 两 种 类 型 的 片段 ， 本 书 将 在 “联邦 ”一 节 中 介绍 。 


7.2.4 Origin 


Origin 属性 用 于 描述 BGP 路 由 的 来 源 。 当 一 条 路 由 被 发 布 到 BGP 后 ，Origin 属性 
便 被 发 布 该 路 由 的 路 由 器 附加 到 这 条 路 由 上 ， 并 且 在 路 由 的 传递 过 程 中 ， 缺 省 时 Origin 
属性 值 不 会 发 生 改 变 。 

Origin 是 一 个 公认 强制 属性 ， 这 意味 着 每 条 BGP 路 由 都 必须 携带 这 个 属性 值 ， 并 且 
BGP 将 路 由 通告 给 其 他 对 等 体 时 ， 必 须 携带 Origin 属性 。 

Origin 属性 的 值 有 3 种 类 型 。 
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e。 IGP: 如 末路 由 是 由 始 发 的 BGP 路 由 器 使 用 network 命令 发 布 到 BGP 的 ， 那 么 
该 BGP 路 由 的 Origin 属性 为 IGP。 
。EGP: 如 果 路 由 是 通过 EGP 学 习 到 的 ， 那 么 该 BGP 路 由 的 Origin 属性 为 EGP。 





”此 处 EGP 指 的 是 一 个 具体 的 路 由 协议 ， 其 名 称 为 BGP。 这 个 路 由 协议 现在 已 经 
不 再 被 使 用 。 


。 Incomplete: 如 末路 由 是 通过 其 他 方式 学 习 到 的 , 则 Origin 属性 为 Incomplete (不 
完整 的 )。 例 如 通过 import-route 命令 引入 到 BGP 的 路 由 。 

当 到 达 同 一 个 目的 网 段 存在 多 条 BGP 路 由 时 ,在 其 他 条 件 相 同 的 情况 下 ，Origin 属 
性 为 IGP 的 路 由 最 优 ， 其 次 是 EGP， 最 后 是 Incomplete。 


3 MED 


MED (Multi-Exit Discriminator) 属性 是 一 个 可 选 非 传 递 属 性 ， 是 一 种 度量 值 。 当 到 
达 同 一 个 目的 网 段 存在 多 条 BGP 路 由 时 ， 在 其 他 条 件 相 同 的 情况 下 ，MED 属性 值 最 小 
的 BGP 路 由 将 被 优选 。 

当 一 个 AS (AS 1) 拥有 多 条 路 径 ( 多 个 出 口 ) 可 以 到 达 同 一 个 相 邻 AS (AS 2) 时 ， 
一 个 凋 见 的 做 法 是 从 AS 2 则 AS 1 执行 路 由 策略 ， 通 过 操控 MED 属性 ， 从 而 告知 后 者 
从 哪 一 个 出 口 〈Exit) 到 达 AS 2 更 优 。 

假设 一 人 台 路 由 需 将 一 条 设置 了 MED 属性 值 的 BGP 路 由 通告 给 了 一 个 EBGP 对 等 体 ， 
后 者 在 其 所 处 的 AS 内 通告 该 BGP 路 由 时 ， 缺 省 会 携带 该 MED 属性 值 ， 但 是 当 该 路 由 
眉 居 四 访 的 于 六 WEB 局 性 丰产 倒 换 征 一 -一 一 一 一 一 err ， 

图 7-18 展示 了 MED 属性 的 一 个 应 用 示 104.00/16 | 
例 。 为 了 让 其 他 AS 的 用 户 能 够 访问 AS 12 ， | \ 
中 的 10:4.0.0/16 网 段 , R1 及 R2 将 到 达 该 网 段 | 
的 路 由 通过 BGP 发 布 了 出 去 。 对 于 AS 300 中 ee SR 






| : 

的 R3 而 言 ， 它 将 从 EBGP 对 等 体 R1 及 R2 | MED=10 MED=20 | 
分 别 学 习 到 10.4.0.0/16 路 由 ， 换 名 话说 ，R3 | As3%0 R33||i0400n6 | 
拥有 两 条 路 径 可 以 进入 AS 12 从 而 访问 目标 一 一 | 
网 段 。 | | 
现在 ， 我 们 期 望 AS 300 中 的 用 户 访问 人 | 
10.4.0.0/16 时 ， 流 量 始 终 往 Rl1 走 ， 当 Rl 发 BGP 路 由 通告 
一 一 人 


生 故 障 时 再 目 动 切换 到 R2， 那 么 就 可 以 通过 
MED 属性 来 影响 路 由 的 优选 ， 从 而 影响 数据 
流 的 走 同 。 可 以 在 RI1 上 部 署 路 由 策略 ， 将 其 通告 给 R3 的 10.4.0.0/16 路 由 的 MED 属性 
值 设 置 为 10， 同 理 在 R2 上 部 闭路 由 策略 ,将 其 通告 给 R3 的 10.4.0.0/16 路 由 的 MED 属 
性 值 设 置 为 20， 如 此 一 来 ， 当 R3 对 这 两 条 路 由 做 决策 时 ， 在 其 他 条 件 相 同 的 情况 下 ， 

它 会 优选 MED 属性 值 更 小 的 路 由 ， 因 此 R1 所 通告 的 路 由 被 优选 。 此 时 在 R3 的 BGP 
路 由 表 中 ,到达 10.4.0.0/16 是 存在 两 条 路 径 的 , 但 是 最 优 的 路 径 只 有 一 条 (从 RI1 到 达 )， 


图 7-18 MED 属性 的 作用 
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R3 只 将 目 己 认为 最 优 的 路 由 通告 给 其 他 对 等 体 。 当 R3 将 该 路 由 通告 给 上 自己 的 IBGP 对 
等 体 ( 若 有 ) 时 ， 路 由 会 携带 MED 属性 〈 此 时 值 为 10)， 但 是 当 R3 将 这 条 路 由 通告 给 
EBGP 对 等 体 R4 时 ， 路 由 缺 省 不 会 携带 MED 属性 ， 正 如 前 面 所 说 : 一 个 AS 从 其 他 AS 
接收 的 MED 属性 值 只 能 够 在 本 AS 中 传递 ， 不 会 传 出 该 AS。 

缺 省 情况 下 ， 只 有 当 路 由 来 自 同 一 个 相 邻 的 AS 时 ，BGP 才 会 进行 MED 属性 的 比 
较 。 在 本 例 中 ，R3 分 别 从 R1 及 R2 这 两 个 EBGP 对 等 体 学 习 到 去 往 同 一 个 目的 网 段 的 


路 由 ， 这 两 条 路 由 都 是 传递 目 AS 12， 因 此 是 从 同一 个 相 邻 AS 收 到 的 ， 在 其 他 条 件 相 - 


同时 ，R3 会 进行 两 条 路 由 的 MED 属性 值 的 比较 。 但 是 如 果 将 拓扑 修改 一 下 ， 将 R1 置 
于 AS 100， 而 R2 置 于 AS 200， 并 且 它 们 都 问 R3 通告 到 达 同 一 个 目的 网 段 的 路 由 ， 则 
此 时 R3 不 再 比较 这 两 条 路 由 的 MED 属性 值 , 因为 它们 来 目 不 同 的 相 邻 AS。 当然 , BGP 
设计 了 一 个 “开关 ”， 我 们 可 以 通过 一 条 简单 的 命令 (在 BGP 配置 视图 下 执行 compare- 
different-as-med 命令 )， 使 得 BGP 在 这 种 情况 下 依然 进行 MED 属性 值 的 比较 。 

当 我 们 在 一 台 路 由 器 上 使 用 network 或 import-route 命令 将 该 路 由 器 的 路 由 表 中 的 
直 连 路 由 、 静 态 路 由 或 通过 IGP 路 由 协议 学 习 到 的 路 由 发 布 到 BGP 后 ， 缺 省 时 ， 路 由 
的 MED 属性 将 继承 其 IGP 度量 值 。 


7.2.6 Next Hop 


Next Hop 是 一 个 公认 强制 属性 ， 所 有 的 BGP 路 由 都 必须 携带 该 属性 。 这 个 属性 描 
述 了 到 达 目 的 网 段 的 下 一 跳 地 址 。BGP 路 由 所 携带 的 Next_ Hop 属性 值 将 在 路 由 器 计算 
路 由 时 用 于 确认 到 达 该 路 由 的 目的 网 段 的 实际 下 一 跳 IP 地 址 和 出 接口 。 

1. Next Hop 属性 的 缺 洗 操作 

接 下 来 ， 本 书 将 通过 一 个 示例 ， 来 讲解 Next Hop 属性 的 缺 省 操作 。 在 图 7-19 中 ， 
AS 12 及 AS 34 内 的 路 由 器 建立 了 IBGP 对 等 体 关 系 ,， 男 外 ，R2 及 R3、R4 及 RS 建立 了 
EBGP 对 等 体 关 系 。 


R2 IBGP 对 等 体 RI1 
UU- p> 






AS 12 10.5.0.0/116 | 









AS 34 | | ASS00 
10.1.34.4 te 10.1454 
"A 


a re TT 


R3 IBGP 对 等 体 Rd EBGP 对 等 体 


ds 10.1.34.3 
人 总， 


图 7-19 Next Hop 属性 的 缺 省 操作 


。 当 路 由 器 将 本 地 路 由 表 中 的 直 连 路 由 、 静 态 路 由 或 通过 IGP 协议 学 习 到 的 动态 路 
由 使 用 network 或 import-route 命令 发 布 到 BGP 时 ， 在 该 路 由 器 的 BGP 路 由 表 中 ， 这 
些 路 由 的 Next Hop 属性 显示 0.0.0.0 (该 路 由 器 是 这 些 路 由 的 始 发 者 )。 

。 当 BGP 路 由 需 使 用 aggregate 命令 通告 一 条 BGP 汇 总 路 由 时 ,在 该 路 由 器 的 BGP 
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路 由 表 中 ， 该 汇总 路 由 的 Next Hop 属性 显示 127.0.0.1。 

。 当 路 由 器 将 本 地 始 发 的 BGP 路 由 通告 给 上 自己 的 IBGP 对 等 体 时 ,路 由 的 Next_Hop 
属性 值 将 被 设置 为 这 人 台 路 由 需 的 BGP 更 新 源 IP 地 址 CUpdate Source IP Address); 而 当 
路 由 器 将 非 本 地 始 发 的 IBGP 路 由 通告 给 目 己 的 IBGP 对 等 体 时 《〈 这 种 情况 在 部 团 了 路 
由 反射 器 的 场景 中 能 够 见 到 ， 关 于 路 由 反射 器 的 概念 ， 本 书 将 在 后 续 的 章节 中 介绍 )， 缺 
省 情况 下 该 路 由 原 有 的 Next Hop 属性 不 会 被 改变 。 

e 当 路 由 器 将 一 条 EBGP 路 由 通告 给 自己 的 IBGP 对 等 体 时 ， 缺 省 情况 下 ， 该 路 由 
器 不 会 改变 该 路 由 原 有 的 Next_ Hop 属性 值 。 

。 当 路 由 器 将 一 条 BGP 路 由 通告 给 目 己 的 EBGP 对 等 体 时 ， 无 论 这 条 路 由 是 否 为 
该 路 由 器 始 发 ， 路 由 的 Next_Hop 属性 值 都 被 设置 为 这 人 台 路 由 器 的 更 新 源 IP 地 址 。 





“证 BGP 的 更 新 源 IP 地 址 也 即 设备 发 送 BGP 协议 报 文 时 所 使 用 的 源 IP 地 址 ， 该 地 
址 可 以 是 设备 直 连 接口 的 IP 地 址 ， 也 可 以 是 设备 的 Loopback 接口 IP 地 址 。 


在 本 例 中 ，R1 及 R2 通过 直 连 接口 建立 了 IBGP 对 等 体 关 系 ， 当 R1 将 直 连 路 由 
10.5.0.0/16 发 布 到 BGP 后， 在 R1 自己 的 BGP 路 由 表 中 ， 该 路 由 的 Next_Hop 属性 显示 
为 0.0.0.0， 当 其 将 这 条 路 由 通告 给 IBGP 对 等 体 R2 时 ， 路 由 的 Next_Hop 属性 值 被 设置 
为 Rl 的 更 新 源 IP 地 址 ， 也 融 是 10.1.12.1， 如 图 7-20 所 示 。 


10,5,0.0/16 
Next_Hop=10.1.12.1 
一 一 一 一 一 一 


R2 RI 






AS 12 10.3.0.0/16 


BGP 路 由 通告 
一 一 一 一 


图 7-20 RI 将 10.5.0.0/16 路 由 发 布 到 BGP， 并 将 路 由 通告 给 IBGP 对 等 体 R2 


在 本 例 中 ，R2 及 R3 基于 直 连 接口 建立 了 EBGP 对 等 体 关系 ， 当 R2 将 10.5.0.0/16 
路 由 通告 给 R3 时 ， 该 路 由 的 Next_Hop 属性 值 被 设置 为 10.1.23.2， 也 束 是 R2 的 更 新 源 
IP 地 址 ， 如 图 7-21 所 示 。 

当 R3 将 这 条 学 习 自 EBGP 对 等 体 的 路 由 通告 给 目 己 的 IBGP 对 等 体 R4 时 ， 路 由 的 
Next Hop 属性 值 将 保持 不 变 ， 依 然 为 10.1.23.2。 当 R4 在 计算 到 达 10.5.0.0/16 的 BGP 
路 由 时 ， 会 将 该 路 由 所 携带 的 Next Hop 属性 值 10.1.23.2 视 为 到 达 这 个 目的 网 段 的 下 一 
跳 ， 若 这 条 BGP 路 由 最 终 被 优选 并 且 加 载 到 路 由 表 ， 则 在 R4 的 路 由 表 中 ，10.5.0.0/16 
路 由 的 下 一 跳 为 10.1.23.2。 您 可 能 已 经 发 现 ，10.1.23.2 这 个 卫 地 址 对 于 R4 而 言 并 非 直 
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连 可 达 ， 因 此 实际 上 R4 需要 对 该 下 一 跳 地 址 进行 递归 查询 ， 才 能 确定 实际 用 于 转发 报 
文 的 下 一 跳 地 址 和 出 接口 ，R4 在 路 由 表 中 查询 到 达 10.1.23.2 的 路 由 ， 并 找到 去 往 这 个 
地 址 的 下 一 跳 5 从 图 7-21 中 能 够 看 出 ， 下 一 跳 应 该 为 R3) 和 出 接口 。 


De wise 1 0. S. 0. 0/1 6 NN 
Next_Hop=10.1,12.1 
i Ro RI 





10.,123.2 











AS 12 10.3.0.0/16 









10. S 0. 0/16 vat msm oor eat mew rm seater Messewn Yer es A WOWEE Tr VOY DO err 0 ivr ml 
Next Ee 1 23.2 
三 AS34 | ASS00 | 
' 10.1.34.3 | 
| | 
中 
人、 10.5.0.0/16 | _ 
Next Hop=101232 NE Hop=TG 1.45 .4 
BGP 路 由 通告 
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图 7-21 R2 将 10.5.0.0/16 路 由 通告 给 EBGP 对 等 体 R3，R3 收 到 路 由 后 将 其 通告 给 R4， 
而 R4 收 到 路 由 后 则 将 其 通告 给 R5， 留 意 Next_ Hop 属性 值 的 变化 





如 果 R4 未 能 在 自己 的 路 由 表 中 查询 到 去 往 10.1.23.2 (BGP 路 由 10.5.0.0/16 的 
Next Hop) 的 路 由 (必须 是 具体 路 由 ， 上 默认 路 由 则 不 行 )， 那 么 该 条 BGP 路 由 将 被 视 为 
不 可 用 。 


另外 ，R4 也 会 将 这 条 IBGP 路 由 通告 给 自己 的 EBGP 对 等 体 R5， 此 时 该 路 由 的 
Next_Hop 属性 值 被 修改 为 R4 的 更 新 源 下 地 址 ， 如 图 7-21 所 示 。 

2. 使 用 next-hop-local 命令 修改 Next Hop 属性 值 

在 图 7-21 所 示 的 场景 中 ， 当 R3 将 通告 自 EBGP 对 等 体 R2 的 10.5.0.0/16 路 由 通告 
给 自己 的 IBGP 对 等 体 R4 时 ， 路 由 的 Next Hop 属性 值 缺 省 是 不 会 做 修改 的 。 当 R4 学 
习 到 这 条 BGP 路 由 时 ， 首 先 它 要 确保 该 BGP 路 由 的 - Next Hop 是 可 达 的 ， 如 果 该 
Next_Hop 不 可 达 ， 则 这 条 BGP 路 由 是 不 可 用 的 ， 也 是 无 论 如 何 都 不 会 被 优选 的 。R4 通 
过 在 自己 的 路 由 表 中 查询 到 达 该 Next Hop 的 路 由 来 判断 其 是 否 可 达 。 

通常 情况 下 ， 在 一 个 AS 内 部 可 能 运行 着 一 个 IGP 协议 (例如 OSPF)， 该 IGP 协议 
将 用 于 实现 AS 内 的 路 由 互通 。 而 R2 及 R3 之 间 互 联 的 链 路 ， 对 于 AS 34 而 言 是 外 部 链 
路 ， 该 链 路 使 用 的 网 段 信息 往往 不 会 通过 AS 内 的 IGP 进行 扩散 ， 换 句 话 说 ，R4 也 许 并 
不 能 通过 IGP 协议 学 习 到 去 往 10.1.23.2 的 路 由 , 如 此 一 来 , 即使 R4 能 够 通过 BGP 学 习 
到 10.5.0.0/16 路 由 ， 这 条 路 由 也 无 法 被 优选 ， 更 无 法 被 R4 使 用 。 

解决 这 个 问题 的 方法 ， 一 是 可 以 在 IGP 协议 中 发 布 R2 及 R3 之 间 互 联网 段 的 路 由 ， 
二 是 使 用 BGP next-hop-local 特性 。 可 以 在 R3 上 执行 next-hop-local 命令 ， 如 图 7-22 
所 示 ， 该 条 命令 应 该 被 设置 为 对 R4 生效 (具体 命令 是 peer 10.1.34.4 next-hop-local， 在 
R3 的 BGP 各 次 物 因 下 执 和 为 如 此 一 来 ， 当 R3 将 EBGP 路 由 通告 给 R4 时 ， 这 些 路 由 
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的 Next_Hop 属性 值 将 被 修改 为 R3 的 BGP 更 新 源 PP 地址， 也 就 是 10.1.34.3， 而 对 于 
R4 而 言 ， 这 个 地 址 是 可 以 通过 直 连 路 由 到 达 的 ， 因 此 BGP 路 由 的 计算 可 以 顺利 进行 。 
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图 7-22 R3 对 R4 部 轩 next-hop-local 特性 


BGP 路 由 通告 
一 一 一 一 一 


7.2.7 _ Atomic Aggregate 色 Aggregator 


路 由 汇总 是 一 个 非常 基础 的 路 由 协议 特性 ， 几 乎 所 有 的 动态 路 由 协议 都 文 持 路 由 汇 
总 ，BGP 也 不 例外 。 在 一 个 BGP 网 络 中 部 署 路 由 汇总 ， 能 够 有 效 地 减少 BGP 路 由 器 通 
告 的 路 由 条 目 数量 ,， 减 小 设备 的 路 由 表 规 模 ， 并 将 拓扑 变化 产生 的 影响 限制 在 一 个 相对 
更 小 的 范围 内 。 路 由 汇总 的 优势 是 非常 明显 的 ， 然 而 执行 路 由 汇总 也 有 可 能 带 来 新 的 问 
题 。 在 BGP 中 部 署 路 由 汇总 后 ， 原 来 被 BGP 通告 出 去 的 明细 路 由 将 被 汇总 路 由 取代 ， 
而 汇总 路 由 可 能 已 经 丢失 了 明细 路 由 所 携带 的 路 人 径 信 息 ， 这 对 于 网 络 而 言 是 存在 问题 
的 ， 因 为 路 径 信 息 ( 尤 其 是 AS_Path 属性 ) 的 丢失 有 可 能 会 带 来 包括 路 由 环 路 在 内 的 
各 种 隐患 。 

在 图 7-23 所 示 的 网 络 中 ，R1 在 BGP 中 发 布 172.16.1.0/24 路 由 ，R2 在 BGP 中 发 布 
172.16.2.0/24 路 由 ， 则 R3 能 够 通过 BGP 学 习 到 这 两 条 路 由 ， 并 且 将 路 由 通告 给 R4。 现 
在 为 了 优化 网 络 中 的 路 由 ， 我 们 在 R3 部 闭 BGP 手工 路 由 汇总 ， 将 172.16.1.0/24 及 
172.16.2.0/24 这 两 条 明细 路 由 汇总 为 172.16.0.0/16。 值 得 注意 的 是 , 一 旦 R3 执行 了 路 由 
汇总 并 且 屏 蔽 了 明细 路 由 ， 它 将 在 本 地 产生 一 条 172.16.0.0/16 汇总 路 由 。172.16.0.0/16 
是 一 条 新 的 BGP 路 由 ， 如 果 它 丢失 了 这 两 条 明细 路 由 的 路 径 属性 ， 那 么 R3 不 仅 会 将 该 
路 由 通告 给 R4， 还 会 将 其 通告 给 R1 及 R2， 并 被 它们 接受 ， 这 将 带 来 路 由 环 路 隐患 。 对 
于 网 络 中 的 其 他 路 由 器 来 说 ， 此 时 它们 并 不 知道 172.16.0.0/16 是 一 条 汇总 路 由 且 该 路 由 
存在 路 径 属 性 的 丢失 。 

BGP 在 手工 路 由 汇总 的 命令 中 ， 设 计 了 as-set 关键 字 ， 若 R3 执行 路 由 汇总 时 使 用 
了 该 关键 字 ， 则 其 产生 的 汇总 路 由 将 继承 明细 路 由 的 路 径 属 性 ， 如 此 一 来 明细 路 由 的 
AS_Path 等 属性 将 不 会 被 丢失 。 这 样 汇总 路 由 便 不 会 再 被 传递 回 AS 100 及 AS 200， 因 
为 该 路 由 的 AS_Path 属性 中 包含 100 及 200 这 两 个 AS 号 。 
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172.16.1.0/24 


AS 100 


AS 400 


172.16.2.0/24 





AS 200 R3 RouterID=3333 


图 7-23 在 BGP 网 络 中 部 署 路 由 汇总 


此 时 R4 的 BGP 路 由 表 如 下 。 


<R4>display bgp routing-table 


BGP Local router ID is 4.4.4.4 

Status codes: * - valid, > - best, d - damped, 
h -history, i-internal,s- SUppressed, S - Stale 
Origin : i - IGP, & - EGP, ? - incomplete 


Total Number of Routes: I 
Network NextHop MED LocPrf PrefVal Path/Ogn 


*> 172.16.0.0 10.1.34.3 300 {100 2007i 

留意 到 在 R4 的 BGP 路 由 表 中 ， 汇 总 路 由 的 Path 为 {100 200}， 实 际 上 该 
AS _Path 由 两 个 片段 〈Segment) 组 成 ， 其 一 是 “300”， 其 二 是 “{100 200}”， 这 说 明 汇 
总 路 由 被 R3 产生 时 ， 已 经 继承 了 明细 路 由 172.16.1.0/24 及 a 的 AS Path 属 
性 值 (100 及 200)。 需 注意 的 是 ， 这 两 条 明细 路 由 的 AS_Path 属性 分 别 含 有 两 个 不 同 的 
AS 号 ， 那 么 当 汇 总 路 由 继 厌 这 两 条 明细 路 由 的 AS_Path 属性 时 ， 该 如 何 安排 这 两 个 AS 
号 的 顺序 ? 实际 上 ， 这 两 个 AS 号 在 该 汇总 路 由 的 AS_Path 中 的 顺序 并 不 重要 ， 因 为 继 
承 这 两 个 AS 号 的 目的 是 为 了 路 由 防 环 。R3 首先 将 明细 路 由 的 AS_Path 属性 值 都 放置 在 
一 个 特殊 的 AS_Path 片段 中 (该 片段 的 类 型 为 AS_Set，AS_Set 中 存储 的 AS 号 码 是 无 序 
的 )， 当 R3 将 汇总 路 由 通告 给 EBGP 对 等 体 R4 时 ， 它 为 路 由 的 AS_Path 属性 新 增 一 个 
AS_Sequence 类 型 的 片段 , 并 在 其 中 写 入 本 地 AS 号 300。 在 华为 数 通 产 品 上 , 为 了 将 AS 
Sequence 及 AS_Set 类 型 的 片段 区 分 开 来 ,设备 使 用 一 对 大 括号 襄 括 AS_Set 类 型 的 片段 。 

As-set 关键 字 的 设计 的 确 在 很 大 程度 上 规避 了 汇总 路 由 的 环 路 隐患 ， 但 是 我 们 依然 
需要 考虑 汇总 路 由 可 能 丢失 明细 路 由 的 AS Path 属性 时 的 情况 ， 例 如 有 些 网 络 可 能 在 部 
萤 手 工 路 由 汇总 时 没有 关联 as-set 关键 字 等 。 在 这 些 情况 下 便 需 要 一 种 “预警 机 制 ” 将 
路 由 汇总 的 发 生 以 及 路 径 属 性 的 缺失 告知 给 其 他 BGP 路 由 器 。 

Atomic Aggregate 是 一 个 公认 上 自由 决定 属性 ， 它 只 相当 于 一 种 预警 标记 ， 而 并 不 承 
载 任何 信息 。 当 路 由 峰 收 到 一 条 BGP 路 由 更 新 且 发 现 该 条 路 由 携带 Atomic Aggregate 
属性 时 ， 它 便 知 道 该 条 路 由 可 能 出 现 了 路 径 属 性 的 丢失 ， 此 时 该 路 由 器 把 这 条 路 由 再 通 
告 给 其 他 对 等 体 时 ， 需 保留 路 由 的 Atomic Aggregate 属性 。 另 外 ， 收 到 该 路 由 更 新 的 路 
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由 器 不 能 将 这 条 路 由 再 度 明 细 化 。 

在 本 例 中 ， 若 我 们 在 R3 上 执行 手工 路 由 汇总 使 得 它 发 布 汇 总 路 由 172.16.0.0/16 且 
屏蔽 明细 路 由 172.16.1.0/24 及 172.16.2.0/24， 那 么 它 在 生成 汇总 路 由 172.16.0.0/16 时 ， 
会 为 该 路 由 添加 Atomic Aggregate 属性 ， 并 将 该 属性 随 看 路 由 通告 给 其 他 对 等 体 ， 如 
图 7-24 所 示 。 

汇总 路 由 172.16.0.0/16 
AS Path=300 


Atomic Ageregate 
Ageregator= (300, 3.3.3.3) 





172.16.1.0/24 


| AS 100 


AS 400 | 


| 172.162.0/24 


| 
LAs200 RS Rouler ID=3.3.33 


图 7-24 Atomic Aggregate 及 Aggregator 属性 


另 一 个 重要 的 属性 是 Aggregator， 这 是 一 个 可 选 传递 属性 ， 当 路 由 汇总 被 执行 时 ， 
执行 路 由 汇总 操作 的 路 由 器 可 以 为 该 汇总 路 由 添加 Aggregator 属性 ， 并 在 该 属性 中 记录 
本 地 AS 号 及 自己 的 Router-ID， 因 此 Aggregator 属性 用 于 标记 路 由 汇总 行为 发 生 在 哪个 
AS 及 哪 台 BGP 路 由 右上 ， 如 图 7-24 所 示 。 在 R4 上 使 用 display bgp routing-table 


172.16.0.0 命令 可 以 查看 汇总 路 由 172.16.0.0/16 的 完整 信息 : 
<R4>display bgp routing-table 172.16.0.0 


BGP local router ID : 4.4.4.4 
Local AS number : 400 
‘Paths: _ 1 available, 1 best, 1 select 
BGP routing table entry information of 172,16.0.0/16; 
From: 10.1.34.3 (3.3.3.3) 
Route Duration: 00h00m28s 
Direct Out-interface: GigabitEthemet0/0/0 
Original nexthop; 10.1,34.3 
Qos information : Ox0 
AS-path 300, origin igp, pref-val 0, valid, external, best, select, active, pre 
255 
Aggregator: AS 300, Aggregator ID 3.3.3.3, Atomic-aggregate 
Not advertised to any peer yet 


7.2.8 Community 


如 图 7-25 所 示 ，AS 600 内 有 大 量 的 路 由 被 发 布 到 了 BGP， 这 些 路 由 所 指 癌 的 目的 
网 段 分 别 用 于 办 公 及 生产 两 种 业务 .AS 600 的 边界 路 由 器 将 这 些 BGP 路 由 通告 给 AS 23， 
现在 AS 23 内 的 路 由 器 基于 某 种 需求 ， 需 要 分 别 对 到 达 生 产 及 办 公 网 段 的 路 由 执行 不 同 
的 路 由 策略 ， 那 么 该 如 何 匹 配 感 兴 趣 路 由 呢 ? 使 用 ACL 或 者 IP 前 级 列表 一 条 一 条 地 区 
配 路 由 么 ? 那样 的 话 效率 就 太 低 了 ， 因 为 路 由 的 数量 相当 多 ， 而 且 AS 23 可 能 未 必 知 道 
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AS 600 中 究竟 具体 哪些 网 段 用 于 生产 业务 ， 哪 些 用 于 办 公 业 务 。Community 属性 能 够 很 
好 地 解决 这 个 问题 。 











生产 网 段 
10.1.1.0/24 10.2.1.0/24 
10.1.2.0/24 10.2.2.0/24 
10.1.3.0/24 10.2.3.0/24 





图 7-25 ”Community 属性 的 应 用 场景 之 一 


Community 属性 是 一 个 可 选 传递 属性 ， 它 类 似 于 路 由 的 “标记 ”， 我们 可 以 针对 特 
定 的 路 由 设置 特定 的 Community 属性 值 ， 而 下 游 路 由 器 在 执行 路 由 策略 时 ， 可 以 通过 
Community 属性 值 来 匹配 目标 路 由 。 因 此 在 图 7-25 中 ， 网 络 管理 员 可 以 在 AS 600 将 这 
些 路 由 发 布 到 BGP 时 ， 为 它们 设置 不 同 的 Community 属性 值 以 作 标记 ， 例 如 将 所 有 到 
达 生 产 网 段 的 路 由 附加 Community 属性 值 600:11， 将 所 有 到 达 办 公 网 段 的 路 由 附加 
Community 属性 值 600:22， 这 些 Community 属性 值 将 随 着 路 由 一 起 被 通告 到 AS 23， 而 
AS 23 内 的 路 由 器 需要 分 别针 对 到 达 生 产 及 办 公 网 段 的 路 由 执行 策略 时 ， 只 需 根 据 相 应 
的 Community 属性 值 来 区 分 这 些 路 由 即 可 ,例如 匹配 Community 属性 值 为 600:11 的 BGP 
路 由 时 ， 也 就 匹配 了 所 有 到 达 生 产 网 段 的 路 由 。 

Community 属性 的 长 度 是 可 变 的 ,网 络 管理 员 可 以 根据 需要 为 一 条 BGP 路 由 添加 一 
个 或 多 个 Community 属性 值 ， 例 如 某 条 路 由 的 Community 属性 可 以 包含 64512:177 和 
64512:300 这 两 个 值 甚至 更 多 其 他 的 值 ， 每 个 Community 属性 值 的 长 度 为 4byte， 通常 采 
用 类 似 “64512:177” 的 格式 呈现 ， 其 中 “:” 前 后 的 字段 各 占据 2byte， 它 们 的 取 值 范围 
都 是 0 一 65535。Community 属性 值 的 前 面 2byte 用 于 表示 AS 号 ,而 后 面 2byte 则 可 由 网 
络 设计 者 目 定 义 。 

RFC1997 (BGP Communities Attribute) 定义 了 几 个 公认 的 Community 属性 值 : 

e。 0x00000000 (或 0) ， 又 被 称 为 “Internet”。 

所 有 BGP 路 由 缺 省 都 属于 名 称 为 “Internet” 的 Community。 如 果 我 们 使 用 路 由 过 
滤器 匹配 Community 属性 值 为 “Internet” 的 BGP 路 由 ， 则 任意 的 BGP 路 由 都 会 被 
匹配 。 

e 0xFFFFFF02 (或 4294967042) ， 又 被 称 为 “No-Advertise” 

如 果 路 由 器 从 BGP 对 等 体 学习 到 一 条 携 珊 了 Community 属性 的 BGP 路 由 ， 并 且 
Community 属性 中 包含 “No-Advertise”， 则 这 条 BGP 路 由 仅 能 供 该 路 由 噩 目 己 使 用 ， 该 
路 由 器 不 能 将 该 BGP 路 由 通告 给 任何 BGP 对 等 体 。 

。 0xFFFFFF01 (或 4294967041) ， 又 被 称 为 “No-Export” 

如 果 路 由 器 从 BGP 对 等 体 学 习 到 一 条 携 市 了 Community 属性 的 BGP 路 由 ， 并 且 
Community 属性 中 包含 “No-Export”， 则 这 条 BGP 路 由 将 不 允许 被 传递 到 该 路 由 器 所 处 
的 AS 之 外 ， 也 就 是 不 能 通告 给 EBGP 对 等 体 〈 但 是 可 以 通告 给 联邦 的 EBGP 对 等 体 )， 


第 7/ 章 BGP 309 


换 名 话说， 这 条 BGP 路 由 只 能 在 本 地 AS 内 传播 。 

如 图 7-26 所 示 ，R1 将 一 条 BGP 路 由 通告 给 R2， 同 时 为 该 路 由 附加 了 值 为 “No-Export” 
的 Community 属性 值 ， 则 该 路 由 进入 AS234 后 ， 只 能 在 该 AS 内 传播 。R4 收 到 该 路 由 
后 ， 如 果 路 由 原 有 的 Community 属性 未 丢失 ,那么 它 不 能 将 这 条 路 由 通告 给 EBGP 对 等 
体 R5。 








| | | 
| | 联邦 成 员 AS 64512 | | 联邦 成 员 AS 64513 | | | 
| 1 EE Se -一 一 上 ee 本 1 
AS 100 | | 联邦 AS 234 ) | AS 500 
Community 属性 包含 


No-Export 的 BGP 路 由 
一 一 一 全 


图 7-26 “携带 No-Export Community 属性 值 的 BGP 路 由 的 传播 范围 


e 0xFFFFFF03 (或 4294967043) ， 又 被 称 为 “No-Export-Subconfed” 

如 有 果 路 由 器 从 BGP 对 等 体 学习 到 一 条 携 珊 了 Community 属性 的 BGP 路 由 ， 并 且 
Community 属性 中 包含 “No-Export-Subconfed”， 则 这 条 BGP 路 由 将 不 允许 被 传递 到 该 
路 由 器 所 处 的 AS 之 外 ， 如 果 该 路 由 器 位 于 联邦 成 员 AS 中 ， 则 这 条 路 由 不 允许 被 传递 
到 该 联邦 成 员 AS 之 外 ， 也 就 是 说 ， 该 条 路 由 禁止 传递 给 任何 EBGP 对 等 体 〈 其 中 包括 
联邦 EBGP 对 等 体 )。 

如 图 7-27 所 示 , R1 将 一 条 BGP 路 由 通告 给 R2, 同时 为 该 路 由 附加 了 值 为 “No-Export- 
Subconfed” 的 Community 属性 。 由 于 R2 处 于 联邦 成 员 AS 64512 中 ， 因 此 该 路 由 只 能 
在 该 AS 内 传播 , R3 收 到 该 路 由 后 , 不 能 将 其 通告 给 任何 EBGP 对 等 体 ( 包 括 联邦 EBGP 
对 等 体 R4)。 












| | 联邦 AS234| | | 


Community 属性 包含 
No-Export-Subconfed 的 BGP 路 由 
一 


图 7-27 ”携带 No-Export-Subconfed 属性 值 的 BGP 路 由 的 传播 范围 
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7.3 配置 及 实现 


7.3.1 案例 1: BGP 基础 实验 


首先 通过 一 个 简单 的 案例 来 帮助 大 家 掌握 BGP 的 基础 配置 。 在 图 7-28 所 示 的 网 络 
中 ， 存 在 着 两 个 AS。R1 及 R2 处 于 AS 12，R3 处 于 AS 300。 现 在 要 求 在 R1 及 R2 之 间 
建立 IBGP 对 等 体 关 系 ， 在 R2 及 R3 之 间 建 立 EBGP 对 等 体 关 系 ， 并 且 R3 将 直 连 路 由 
33.33.0.0/16 发 布 到 BGP。 所 有 路 由 器 的 BGP Router-ID 均 为 x.x.x.x, 其 中 x 为 设备 编号 。 


33.33.0.0/16 







GE0/0/0 GEO/0/0 GE0/0/1 GE0/0/0 
10.1.12.1/24 10.1.12.2/24 10.1.23.2/24 10.1.23.3/24 
















天 入 2 FTP 


RI IBGP 对 等 体 R2 | EBGP 对 等 体 ) R3 


AS 12 AS 300 | 


图 7-28 ”BGP 基础 实验 


a 


R1 的 配置 如 下 : 

[Rljbgp 12 

[Rl-bgplrouter-id 1.1.1.1 
[Rl1-bgplpeer 10.1.12.2 as-number 12 


在 上 述 配 置 中 , bgp 命令 用 于 创建 BGP 进程 , 并 且 指 定 本 设 用 备 所 处 的 AS 号 码 。router- 
命令 则 用 于 指定 路 由 器 用 于 该 BGP 进程 的 Router-ID 。peer peer-address as-number 

as-number 命令 用 于 配置 一 个 BGP 的 对 等 体 , 并 且 指 定 该 对 等 体 所 处 的 AS。 值得 注意 的 
是 ， 与 IGP 协议 (如 OSPF) 不 同 ，BGP 的 对 等 体 是 需要 手工 指定 的 ， 设 备 需要 通过 命 
令 明 确 地 指出 对 等 体 的 地 址 及 其 所 处 AS 的 号 码 。peer 10.1.12.2 as-number 12 命令 便 是 
为 路 由 器 配置 了 一 个 对 等 体 ， 它 的 地 址 是 10.1.12.2， 并 且 对 方 处 于 AS 12 之 中 ， 所 以 这 
是 一 个 IJBGP 对 等 体 ， 因 为 Rl 自身 也 是 处 于 AS 12 中 。 

R2 的 配置 如 下 : 

[R2]bgp 12 

[R2-bgpjrouter-id 2.2.2,2 


[R2-bgpjpeer 10.1.12.1 as-number 12 
[R2-bgpjpeer 10.1.23.3 as-number 300 


R3 的 配置 如 下 : 


[R3]bgp 300 

[R3-bgplrouter-id 3.3.3.3 
[R3-bgplpeer 10.1.23.2 as-number 12 
[R3-bgpjnetwork 33.33.0.0 16 


在 以 上 配置 中 ，network 33.33.0.0 16 命令 用 于 将 本 地 路 由 表 中 的 路 由 发 布 到 BGP。 
在 此 之 前 ， 需 首先 确认 本 地 路 由 表 中 确实 存在 33.33.0.0/16 路 由 ， 和 否则 将 该 路 由 发 布 到 
BGP 的 操作 将 会 失败 。 使 用 network 命令 将 路 由 发 布 到 BGP 是 一 种 非常 常见 的 方法 ， 
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要 注意 ， 当 使 用 该 命令 时 ， 命 令 所 指定 的 网 段 及 掩 码 长 度 必须 与 路 由 表 中 对 应 的 路 由 完 
全 一 致 。 例 如 路 由 表 中 若 存在 10.1.1.0/24 路 由 ， 则 使 用 network 10.0.0.0 8 命令 是 无 法 将 
该 路 由 发 布 到 BGP 的 ， 必 须 使 用 network 10.1.1.0 24 命令 。 


志和 BGP AS 号 的 长 度 为 2byte， 因 此 AS 号 的 范围 是 1~65535， 其 中 1 一 64511 
为 公有 AS 号 ， 如 需 使 用 这 个 区 间 的 AS 号 ， 则 需 向 特定 的 机 构 申 请 。 另 外 ，64512 一 65535 
是 私有 AS 号 ， 这 个 区 间 的 AS 号 可 在 私有 网 络 内 随意 使 用 。 随 着 网 络 飞速 发 展 ，2byte 
的 AS 号 已 经 无 法 满足 需求 ， 因 此 4 字 节 的 AS 号 被 启用 ， 它 的 范围 是 1 ~4294967295。 
以 华为 AR2220 路 由 器 为 例 ， 支 持 2byte 及 4byte 的 AS 号 。 

完成 上 述 配 置 后 ， 路 由 器 之 间 便 会 开始 TCP 三 次 握手 并 建立 TCP 连接 ， 然 后 进行 
BGP 对 等 体 关 系 的 建立 过 程 .通过 display bgp peer 命令 可 以 查看 路 由 器 的 BGP 邻居 表 ， 
例如 Rl 的 BGP 邻居 表 如 下 : 

<R1>display bgp Peer 


BG?P local router ID : 1.1.1.1 
Local AS number : 12 


Total number of peers : 1 Peers Im established state : 1 
Peer V AS MsgRevd “ MsgSent OutQ Up/Down State Pref 
Recv 
10.1,12.2 4 i i 9 0 00:06:12 Established 1 


在 上 述 输出 中 ,“BGP local router ID” 显 示 了 本 路 由 器 的 BGP Router-ID,“Local AS 
number” 显 示 的 是 本 路 由 器 所 处 的 AS 号 码 。 我 们 看 到 R1 存在 一 个 对 等 体 ,“ 了 Peer” 列 
指示 该 对 等 体 的 地 址 为 10.1.12.2;“V” 列 显示 使 用 的 BGP 版 本 为 4;“AS” 列 指示 对 方 
所 处 的 AS 号 为 12;“MsgRcvd” 及 “MsgSent” 分 别 指示 收 到 及 发 送 的 BGP 报 文 数目 ; 
“OutQ” 显 示 的 是 等 待 发 往 对 等 体 的 报 文 数量 ， 该 值 通常 为 0;“Up/Down” 列 显示 BGP 
会 话 处 于 当前 状态 的 时 长 ;“State” 列 显示 BGP 当前 的 对 等 体 状 态 ;“PrefRcev” 显 示 R1 
从 该 对 等 体 收 到 的 路 由 前 缀 数目 。 使 用 相同 的 方法 在 R2 及 R3 上 得 看 BGP 邻居 表 ， 确 
保 所 有 的 BGP 对 等 体 关 系 都 已 经 正确 建立 。 

接 下 来 ， 使 用 display bgp routing-table 命令 在 路 由 器 上 查看 一 下 BGP 路 由 表 。R3 
的 BGP 路 由 表 如 下 : 

<R3>display bgp routing-table 

BGP Local router ID is 3.3.3.3 

Status codes: * - valid, > - best, d - damped, 


h - history, i- internal, s - suppressed, S - Stale 
Origin : i - IGP, e - EGP, ? - incomplete 


Total Number of Routes: 1 
Network NextHop MED LocPrf PrefVal pe 
*> 33.33.0.0/16 0.0.0.0 0 


在 上 述 输出 中 ,可 以 看 到 R3 的 BGP 路 由 表 里 已 经 出 现 了 路 由 33.33.0.0/16， 该 路 由 
正 是 此 前 通过 network 命令 发 布 到 BGP 的 。BGP 路 由 表 最 左 列 显示 了 该 条 路 由 的 状态 ， 
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“*>” 中 的 星 号 表示 该 条 BGP 路 由 是 可 用 的 ， 另 外 ,“> 之 ”表示 该 条 路 由 被 优选 ， 或 者 说 
是 最 优 路 由 (Best)， 当 BGP 发 现 了 多 条 到 达 相 同 目 的 网 段 的 路 由 时 ， 它 会 将 所 有 路 由 
都 陈列 在 BGP 路 由 表 中 , 并 从 中 选择 一 条 最 优 的 路 由 ， 只 有 最 优 的 路 由 才 会 被 放 入 设备 
的 全 局 路 由 表 , 也 只 有 最 优 的 路 由 才 会 被 通告 给 其 他 BGP 对 等 体 , “Network” 列 显示 的 
是 路 由 的 目的 网 络 地 址 及 掩 码 长 度 。“NextHop ” 列 显 示 的 是 Next Hop 属性 值 。“ LocPrf” 
列 显 示 的 是 Local Preference 属性 值 ,“Prefval” 列 显示 的 是 Preferred Value 属性 值 ， 
“Path” 列 显示 的 是 AS_Path 属性 值 ， 如 果 该 列 为 室 ， 则 意味 着 路 由 携 币 的 AS_Path 属性 
值 为 空 ， 也 就 是 说 这 条 路 由 起 源 于 本 AS 内 而 不 是 AS 之 外 。“Ogn” 显 示 的 是 Origin 属 
性 值 , 如 果 此 处 显示 “i” 则 表示 该 路 由 是 被 BGP 的 network 命令 发 布 的 , 也 就 是 Origin 
为 IGP， 男 外 ， 如 果 此 处 显示 “?”， 则 表示 Origin 为 Incomplete。 
在 R2 上 查看 BGP 路 由 表 : 


<R2>display bgp routing-table 


BGP Local router ID is 2.2.2.2 

Status codes: * - valid, > - best, d - damped, 
h - history， 1- internal, s - suppressed, S - Stale 
Origin :1-IGP e - EGP, ? - incomplete 


Total Number of Routes: 1 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*> 33.33.0.0/16 10.1.23.3 0 0 300i 


从 R2 的 BGP 路 由 表 可 以 看 出 ， 它 已 经 从 R3 学 习 到 BGP 路 由 33.33.0.0/16， 而 且 
该 条 路 由 目前 已 经 被 优选 ， 既 然 被 优选 ， 那 么 R2 便 会 将 这 条 路 由 加 载 到 路 由 表 中 ， 来 
查看 一 下 R2 的 路 由 表 : 


<R2>display ip routing-table protocol bgp 
Route Flags: R - relay, D - download to fib 


Public routing table : BGP 
Destinations : 1 Routes: 1 


BGP routing table status : <Active> 


Destinations : 1 Routes : 1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
33.33.0.0/16 EBGP 255 0 D 10.1.23.3 GigabitEthernet0/0/1 


BGP routing table status : <Inactive> 
Destinations :0 Routes :0 
从 R2 的 路 由 表 可 以 看 到 33.33.0.0/16 路 由 ,该 路 由 的 类 型 为 EBGP，, 优先 级 为 255， 
而 且 下 一 跳 为 10.1.23.3。 
R3 通告 给 R2 的 BGP 路 由 33.33.0.0/16 既然 已 经 被 优选 ， 那 么 R2 便 会 将 这 条 BGP 
路 由 通告 给 自己 的 IBGP 对 等 体 R1，R1 的 BGP 表 : 
<R1>display bgp routing-table 


BGP Local router ID is 1.1.1.1 
Status codes: * - valid, > - best, d - damped, 
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h - history， 1 - internal, s - Suppressed, S - Stale 
Onigin :i1- IGP, e - EGP, ? - incomplete 


Total Number of Routes: 1 
Network NextHop MED LocPrf ena Path/Ogn 
gy ee 0.0/16 10.1.23.3 0 100 0、 300i 


能 已 经 发 现 了 , R1 的 BGP 表 中 确实 已 经 存在 33.33.0. 0/16 路 由 ， 然 而 这 条 路 由 
没有 <“ TE we 这 意味 看 该 路 由 并 不 可 用 ， 路 由 既然 不 可 用 目 然 就 不 会 被 优选 ， 因 此 也 
不 会 有 有 “>” 标记 。 那 么 为 什么 路 由 会 不 可 用 呢 ?” 原 因 是 该 路 由 的 Next Hop 不 可 达 。 当 
路 由 器 将 一 条 EBGP 路 由 通告 给 自己 的 IBGP 对 等 体 时 ,该 路 由 的 Next Hop 属性 值 将 保 
持 不 变 , 因此 当 R2 将 R3 通告 的 BGP 路 由 再 通告 给 R1 时 , 它 不 会 修改 路 由 的 Next_Hop 
属性 值 ， 所 以 当 R1 收 到 这 条 BGP 路 由 时 ， 发 现 其 Next_Hop 属性 值 为 10.1.23.3， 而 该 
地 址 在 R1 的 路 由 表 中 并 无 任何 路 由 能 够 到 达 ， 它 判断 Next Hop 不 可 达 ， 于 是 认为 该 
BGP 路 由 不 可 用 ,我们 可 以 在 Rl1 上 配置 一 条 到 达 10.1.23.0/24 的 静态 路 由 来 解决 上 述 问 
题 ， 然 而 这 并 非 最 佳 的 解决 办 法 ， 使 用 BGP 的 next-hop-local 命令 相 比 之 下 可 能 是 一 个 
更 优 的 解决 方案 。R2 增加 如 下 配置 : 


[R2]bgp 12 
[R2-bgp]peer 10.1.12.1 next-hop-local 


完成 上 述 配 置 后 ， 当 R2 将 EBGP 路 由 33.33.0.0/16 路 由 通告 给 IBGP 对 等 体 R1 时 ， 
它 会 将 路 由 的 Next_Hop 属性 值 修改 为 自己 的 他 地 址 一 一 10.1.12.2, 而 这 个 地 址 对 于 RI 
而 言 是 可 达 的 。 

现在 再 查看 一 下 Rl 的 BGP 表 : 


<R1>display bgp routing-table 


BGP Local router ID is 1.1.1.1 

Status codes: * = valid, > - best, d - damped., 
h-history, i- internal, s- suppressed, S - Stale 
Origin : 1- IGP, e-EGP ? - incomplete 


Total Number of Routes; 1 
Network NextHop MED LocPrf PrefVal Path/Ogn 

x>i 33.33.0.0/16 10.1.12.2 0 100 0 300i 

这 条 BGP 路 由 已 经 变 为 可 用 了 ， 而 且 已 经 被 优选 了 。 在 R1 的 路 由 表 中 也 就 能 看 到 
这 条 BGP 路 由 了 : 
<R1>display ip routing-table protocol bgp 
Route Flags: R - relay, D - download to fib 
Public routing table : BGP 
Destinations : ] Routes : ] 


BGP routing table status : <Active> 


Destinations : 1 Routes : 1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
33,33.0.0/16 IBGP 255 0 RD 10.1.12.2 GigabitEthernet0/0/0 


BGP routing table status : <Inactive> 
Destinations : 0 Routes :0 
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By R1 还 是 无 法 ping 通 33.33.0.0/16 网 段 内 的 设备 , 这 是 因为 
去 向 的 报 文 能 够 顺利 到 达 目 标 网 段 ， 但 是 回程 流量 却 无 法 顺利 返回 ， 因 为 此 时 R3 并 没 
有 发 现 到 达 R1 (10.1.12.0/24 网 段 ) 的 路 由 。 要 彻底 实现 两 者 的 相互 通信 ， 可 以 在 R3 上 
增加 下 一 跳 为 R2 的 静态 默认 路 由 ， 当 然 ， 也 可 以 在 R2 上 ， 将 直 连 路 由 10.1.12.0/24 发 
布 到 BGP。 


7.3.2 ”案例 2: 指定 BGP 更 新 源 IP 地 址 


到 目前 为 止 ， 在 本 书 为 大 家 展示 的 所 有 配置 案例 中 ，BGP 对 等 体 关 系 几 乎 都 是 基于 
直 连 接口 建立 的 。 在 图 7-29 中 ，R1、R2 及 R3 处 于 AS 123， 现 在 要 求 在 Rl 及 R3 上 运 
行 BGP 并 建立 IBGP 对 等 体 关 系 。 如 果 直 接 基 于 双方 的 GE0/0/1 接口 建立 IBGP 对 等 体 
关系 ， 则 意味 着 在 R1 上 配置 [BGP 对 等 体 R3 时 ， 使 用 的 对 等 体 地 址 是 10.1.13.3， 而 在 
R3 上 配置 IBGP 对 等 体 R1 时 ， 使 用 的 对 等 体 地 址 是 10.1.13.1。 完 成 配置 后 ， 以 RI1 为 
例 ( 假 设 它 是 BGP 会 话 的 发 起 方 ), 它 将 在 自己 的 路 由 表 中 查询 到 达 对 等 体 地 址 10.1.13.3 
的 路 由 ， 结 果 发 现 直 连 即 可 到 达 ， 而 且 出 接口 为 GE0/0/1， 于 是 ， 它 尝试 以 GE0/0/1 接 
口 的 地 址 为 源 全 地 址 、 以 10.1.13.3 为 目的 IP 地 址 发 起 TCP 连接 建立 请 求 ， 随 着 TCP 
会 话 的 建立 ，R1 后 续 发 送 的 BGP 报 文 也 均 以 GE0/0/1 接口 的 地 址 为 源 IP 地址， 我 们 将 
这 个 地 址 称 为 Rl 的 BGP 更 新 源 卫 地 址 一 一 更 新 源 耳 地址 缺 省 为 BGP 报 文 的 出 接口 IP 
地 址 。 





10.1.13.3/24 R3 


-~ — -一 一 


图 7-29 基于 Loopback 接口 建立 IBGP 对 等 体 关 系 


在 这 个 场景 中 ，R1 及 R3 的 IBGP 对 等 体 关 系 乍 看 之 下 似乎 没有 问题 ， 能 够 正音 建 
立 ， 但 是 却 存在 一 个 隐患 ， 那 就 是 如 果 R1 及 R3 之 间 的 互联 链 路 发 生 故 障 时 ， 两 者 的 
GE0/0/1 接口 都 将 立即 关闭 ， 与 此 同时 R1 及 R3 之 间 的 IBGP 对 等 体 关 系 将 会 失效 ， 因 
为 双方 的 BGP 会 话 随 着 各 上 自 更 新 源 接口 的 失效 而 失效 。 然 而 ， 由 于 AS 123 内 部 运行 了 
OSPF， 因 此 虽然 R1 及 R3 之 间 的 直 连 链 路 已 经 失效 ， 但 是 实际 上 R1 并 未 彻底 丢失 与 
R3 的 IP 连通 性 ， 两 者 之 间 是 存在 元 余 的 路 径 的 ， 它 们 可 以 从 R2 这 一 侧 的 路 径 来 到 达 
对 方 。 

因此 , 一 种 可 靠 性 更 高 的 方案 出 现 了 ,我 们 可 以 在 R1 及 R3 上 各 创建 一 个 Loopback0 
接口 ， 并 分 别 为 这 个 接口 配置 IP 地 址 ，R1 的 Loopback0 接口 的 IP 地址 为 1.1.1.1/32， 
R3 的 Loopback0 接口 地 址 为 3.3.3.3/32， 并 且 两 者 都 将 各 目的 Looback0 接口 在 OSPF 中 
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激活 ， 使 得 OSPF 域内 的 路 由 器 能 够 学 习 到 去 往 这 两 个 Loopback 接口 的 路 由 。 现 在 RI1 
及 R3 之 间 的 IBGP 对 等 体 关 系 不 再 基于 双方 的 直 连 接口 来 建立 ， 而 是 通过 Loopback0 
接口 来 建立 ，R1 的 关键 配置 如 下 : 

[Rllinterface loopback0 

[R1-Loopback0]ip address 1.1.1.1 32 

[R1-LoopbackO]quit 


[Rijbgp 123 
[RJI-bgp]peer 3.3.3.3 as-number 123 
[了 1-bgpjpeer 3.3.3.3 connect-interface LoopBack 0 





和 上 述 配 置 中 ， 忽 略 了 OSPF 的 配置 。 


您 可 能 已 经 留意 到 BGP 配置 的 变化 了 ，R1 在 配置 IBGP 对 等 体 R3 时 ， 使 用 的 对 等 
体 地 址 是 3.3.3.3， 也 就 是 R3 的 Loopback0 接口 IP 地 址 。 另 外 ，peer 3.3.3.3 connect- 
interface Loopback0 命令 用 于 指定 本 设备 使 用 Loopback0 接口 和 R3 建立 BGP 对 等 体 关 
系 ， 换 名 话说 就 是 R1 使 用 Loopback0 接口 的 IP 地 址 作为 其 更 新 源 IP 地 址 。 

R3 的 关键 配置 如 下 : 

[R3]Jinterface loopback0 

[R3-LoopbackOlip address 3.3.3.3 32 


[R3]bgp 123 
[R3-bgp]peer 1.1.1.1 as-number 123 
[R3-bgp]peer 1.1.1.1 connect-interface LoopBack 0 


完成 上 述 配置 后 ，R1 及 R3 将 基于 双方 的 Loopback0 接口 建立 IBGP 对 等 体 关 系 。 
R1 发 往 R3 的 BGP 报 文 的 源 卫 地 址 为 1.1.1.1, 目的 了 P 地 址 为 3.3.3.3， 缺 省 时 这 些 报 文 
治 着 R1 及 R3 之 间 的 直 连 链 路 进行 交互 , 当 该 链 路 失效 时 , 丝 坚 不 会 影响 双方 Loopback0 
接口 的 IP 连通 性 ， 随 着 OSPF 路 由 的 收敛 ，R1 及 R3 能 够 立即 发 现 新 的 路 由 到 达 对 方 ， 
在 这 个 过 程 中 ， 双 方 的 BGP 会 话 不 会 受到 影响 ， 更 加 无 需 重建 。 

一 般 情况 下 ， 建 议 IBGP 对 等 体 关 系 基 于 Loopback 接口 建立 ， 其 原因 及 优势 经 过 上 
文 的 描述 大 家 已 经 能 够 体会 。 而 EBGP 对 等 体 关 系 则 大 多 基于 直 连 接口 建立 ， 因 为 在 两 
个 AS 边界 运行 一 个 IGP 协议 的 情况 还 是 相对 少见 的 , AS 之 间 的 连接 也 可 能 并 不 像 上 述 
场景 那样 ， 能 够 通过 IGP 协议 实现 元 余 性 。 当 然 ， 不 排除 有 要 求 EBGP 对 等 体 关 系 基 于 
Loopback 接口 建立 的 场景 , 在 过 到 这 种 场景 时 , 有 一 个 问题 需要 格外 留意 ,本 书 将 在 7.3.3 
节 为 大 家 详细 曾 述 。 


7.3.3 案例 3: BGP 与 非 直 连 网 络 上 时 对 等 体 建 立 EBGP 会 话 


通常 情况 下 ，EBGP 对 等 体 之 间 必 须 具备 直 连 链 路 ， 而 且 EBGP 对 等 体 关 系 必须 基 
于 直 连 接口 建立 。 如 果 两 台 路 由 器 之 间 存 在 其 他 三 层 设 备 ， 如 图 7-30 的 场景 1， 或 者 采 
用 Loopback 接口 建立 EBGP 会 话 , 如 图 7-30 的 场景 2，EBGP 对 等 体 关系 的 建立 都 将 遇 
到 问题 。 
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图 7-30 ”BGP 与 非 直 连 网 络 上 的 对 等 体 建立 EBGP 会 话 


缺 省 时 ，EBGP 对 等 体 之 间 交 互 的 所 有 BGP 报 文 的 TTL 都 被 设置 为 1， 受 这 个 限制 
的 影响 ，EBGP 对 等 体 之 间 如 果 存 在 多 跳 ， 则 无 法 正常 建立 BGP 会 话 。 以 图 7-30 中 的 
场景 1 为 例 ， 当 R1 发 送出 去 的 BGP 报 文 到 达 Rx 时 ， 后 者 将 该 报 文 的 IP 头 部 中 的 TTL 
值 减 去 1， 发 现 结果 为 0， 因此 虽然 报 文 的 目的 地 是 R2, 但 是 它 也 不 会 将 报 文 转发 出 去 ， 
这 就 导致 R1 及 R2 永远 无 法 收 到 对 方 发 送 的 BGP 报 文 ， 也 就 更 加 无 法 建立 BGP 会 话 了 。 

在 BGP 的 配置 视图 下 ， 使 用 peer ebgp-max-hop 命令 可 以 配置 BGP 允许 与 非 直 连 
的 设备 建立 EBGP 对 等 体 关 系 ,同时 可 以 设置 所 允许 的 最 大 跳 数 ,该 跳 数 将 直接 影响 BGP 
报 文 的 TTL 值 。 需要 特别 强调 的 是 ， 当 BGP 使 用 Loopback 接口 建立 EBGP 对 等 体 关系 
时 ， 必 须 配 置 peer ebgp-max-hop 命令 〈 并 且 该 命令 后 面 所 指定 的 最 大 跳 数值 必须 大 于 
或 等 于 2)， 和 否则 EBGP 对 等 体 关 系 无 法 建立 。 

在 图 7-31 所 示 的 案例 中 ，R3 及 R4 分 别处 于 AS 300 及 AS 400， 现 在 两 者 要 基于 各 
目的 Loopback0 接口 建立 EBGP 对 等 体 关 系 ， 那 么 就 必须 在 R3 及 R4 上 配置 peer 
ebgp-max-hop 命令 。 

R3 的 配置 如 下 : 


[R3jbgp 300 

[R3-bgplpeer 4.4.4.4 as-number 400 
[R3-bgpjpeer 4.4.4.4 connect-interface loopback0 
[R3-bgp]peer 4.4.4.4 ebgp-max-hop 2 
[R3-bgpjquit 

[R3]ip route-static 4.4.4.4 32 10.1.34.4 


R4 的 配置 如 下 : 

民 4]bgp 400 

[R4-bgplpeer 3.3.3.3 as-number 300 
[R4-bgplpeer 3.3.3.3 connect- interface loopback0 
[R4-bgplpeer 3.3.3.3 ebgp-max-hop 2 
[R4-bgpjquit ee 


[R4jip route-static 3.3.3.3 32 10.1.34.3 

R3 配置 的 peer 4.4.4.4 ebgp-max-hop 2 命令 用 于 允许 本 地 与 非 直 连 的 4.4.4.4 建立 
EBGP 对 等 体 关 系 ， 并 且 最 大 跳 数 为 2 跳 ，R4 配置 的 命令 同 理 。 如 此 一 来 ， 双 方 即 可 基 
于 Loopback 接口 建立 对 等 体 关 系 。 需 要 注意 的 是 ,为 了 使 得 双方 对 等 体 关 系 的 正确 建立 ， 
必须 保证 路 由 器 拥有 到 达 对 方 Loopback 接口 的 路 由 。 





“peer 4.4.4.4 ebgp-max-hop 命令 如 果 不 设置 具体 的 跳 数 ， 则 等 同 于 peer 4.4.4.4 
ebgp-max-hop 255， 其 中 255 为 该 参数 的 最 大 值 。 
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图 7-31 采用 Loopback 接口 建立 EBGP 对 等 体 关系 


7.3.4 案例 4: BGP 路 由 自动 汇总 


路 由 汇总 几乎 是 每 一 种 动态 路 由 协议 都 支持 的 功能 ，BGP 也 不 例外 。BGP 支持 路 由 
自动 汇总 和 手工 汇总 。 对 于 BGP 路 由 的 目 动 汇总 ， 是 受 限 于 特定 的 场景 的 ， 首 先 要 求 路 
由 器 打开 BGP 路 由 目 动 汇总 的 开关 《通过 在 BGP 配置 视图 下 使 用 summary automatic 
命令 开启 ， 这 条 命令 缺 省 未 被 配置 )， 另 外 ，BGP 的 自动 汇总 功能 仅 对 使 用 import-route 
方式 引入 BGP 的 路 由 有 效 。 

在 图 7-32 中 ，R1 及 R2 为 EBGP 对 等 体 关 系 。R1 处 于 AS 100， 该 AS 内 部 运行 着 
OSPF，R1 通过 OSPF 获知 到 达 AS 内 部 网 段 的 路 由 ， 现 在 为 了 让 AS 200 内 的 路 由 需 能 
够 通过 BGP 学 习 到 这 些 路 由 ，R1 将 OSPF 路 由 《目的 网 络 地 址 以 172.16 开头 ， 并 且 目 
的 网 络 掩 码 长 度 为 24 的 路 由 ) 引入 BGP。 








1 
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图 7-32 BGP 路 由 自动 汇总 


通过 在 R1 上 激活 BGP 路 由 自动 汇总 功能 ， 可 以 让 RI1 将 引入 BGP 的 路 由 进行 汇总 ， 
原来 的 子 网 路 由 被 按照 主 类 网 络 进行 自动 汇总 一 一 汇总 成 172.16.0.0/16。 汇总 路 由 被 R1 
通告 给 R2， 但 明细 路 由 则 不 会 被 通告 ， 从 而 网 络 中 传递 的 路 由 条 目 数量 也 就 相对 减少 了 ， 
R2 的 路 由 表 规 模 也 就 跟 看 减 小 了 

R1 的 配置 如 下 : 

# 创 建 IP 前 缀 列表 1: 

[Rllip ip-prefix 1 permit 172.16.0.0 16 greater-equal 24 less-equal 24 


# 创 建 Route-Policy henp， 并 创建 节点 10， 在 其 中 调用 IP 前 级 列表 1: 
[R1jroute-policy henp permit node 10 

[R1-route-policyjif-match ip-prefix 1 

[Rl1-route-policy]quit 


# 将 感 兴趣 的 OSPF 路 由 引入 BGP， 并 激活 BGP 路 由 自动 汇总 功能 : 
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[Ril]bgp 100 

[Rl-bgpljrouter-id 1.1.1.1 

[Ril-bgplpeer 10.1.12.2 as-number 200 
[R1-bgp]jimport-route ospf 1 route-policy henp 
[Rl-bgplsummary automatic 


完成 上 述 配置 后 ， 碍 看 一 下 R1 的 BGP 路 由 表 : 


<R1l>display bgp routing-table 


BGP Local router ID is 1.1.1.1 

Status codes: * - valid, > - best, d - damped, 
h -history, 1- internal, s - suppressed, S - Stale 
Origin : i- IGP, e - EGP, ? - incomplete 


Total Number of Routes: 27 


Network NextHop MED LocPrf PrefVal Path/Ogn 
> 172.16.0.0 127.0.0.1 0 2 
s> 172.16.1.0/24 0.0.0.0 l 0 ? 
s> 172.16.2.0/24 0.0.0.0 | 0 ? 
S> 172.16.3.0/24 0.0.0.0 ] 0 2 


从 以 上 输出 可 以 看 出 ， 目 的 网 络 地 址 以 172.16 开头 并 且 目 的 网 络 掩 码 长 度 为 24 的 
OSPF 路 由 已 经 被 引入 BGP， 由 于 RI1 激活 了 BGP 路 由 自动 汇总 功能 ， 因 此 它 会 将 这 些 
子 网 路 由 汇总 成 172.16.0.0/16， 同 时 抑制 所 有 的 子 网 路 由 ， 这 通过 所 有 的 子 网 路 由 前 面 
的 “s” 标 记 可 以 看 出 ， 该 标记 的 含义 为 “Suppressed”， 表 示 被 抑制 。R1 最 终 只 是 将 汇 
总 路 由 172.16.0.0/16 通告 给 R2。 

查看 R2 的 BGP 路 由 表 ， 能 够 看 到 R1 通告 的 汇总 路 由 ， 


<R2>display bgp routing-table 


BGP Local router ID is 2.2.2.2 

Status codes: * - valid, > - best, d - damped, 
h -history, i- internal, s- suppressed,S - Stale 
Origin :1-IGP,e-EGP ? - incomplete 


Total Number of Routes; 1 
Network NextHop MED LocPrf PrefVal Path/Ogn 
> 172.16.0.0 10.1.12.1 Be 100? 
进一步 查看 详情 : 


<R2>display bgp routing-table 172.16.0.0 


BGP local router ID : 10.1.12.2 

Local AS number : 200 

Paths: 1 available, 1 best, ] select 

BGP routing table entry information of 172.16.0.0/16: 

From: 10.1.12.1 (1.1.1.1) 

Route Duration: 00h01m07s 

Direct Out-interface: GigabitEthernet0/0/0 

Original nexthop: 10.1.12.1 

Qos information : Ox0 

AS-path 100, origin incomplete, pref-yal 0, valid, external, best, select, active, pre 255 
Aggregator: AS 100, Aggregator ID 1.1.1.1 #1.1.1.1 为 R1 的 Router-ID 
Not advertised to any peer yet 
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可 以 观察 到 Aggregator 属性 。 
7.3.5 ”案例 5: BGP 手工 路 由 汇总 


BGP 的 路 由 目 动 汇总 功能 虽然 能 够 在 一 定 程度 上 减少 网 络 中 传递 的 路 由 条 目 数 量 、 
减 小 设备 的 路 由 规模 ， 但 这 个 功能 是 存在 短 板 的 。 首 先 自 动 汇总 功能 仅 对 使 用 
import-route 命令 引入 到 BGP 的 路 由 产生 作用 ， 其 次 BGP 所 产生 的 汇总 路 由 只 能 是 主 
类 网 络 路 由 。 当 我 们 需要 对 路 由 汇总 行为 进行 更 为 精确 的 把 控 时 ， 手 工 路 由 汇总 就 是 一 
个 更 佳 的 解决 方案 。BGP 支持 手工 路 由 汇总 ， 而 且 配 置 非常 简单 ， 在 BGP 配置 视图 下 
使 用 aggregate 命令 即 可 配置 手工 路 由 汇总 ,aggregate 命令 包含 着 多 个 可 选 的 子 关键 字 ， 
每 个 关键 字 有 者 特定 的 含义 。 

在 图 7-33 中 ， 路 由 器 按 图 示 的 要 求 建 立 EBGP 对 等 体 关系 。R3 向 BGP 发 布 了 172. 
16.1.0/24 及 172.16.2.0/24 路 由 当然， 在 实际 的 情况 中 R3 发 布 的 子 网 路 由 可 能 更 多 ， 
简单 起 见 此 处 只 取 了 两 个 子 网 做 代表 )。R1 及 R2 能 够 通过 BGP 学 习 到 这 两 条 路 由 。 接 
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图 7-33 ”没有 在 网 络 中 部 署 BGP 路 由 汇总 时 的 情况 


1. 使 用 aggregate 命令 配置 路 由 汇总 
首先 在 R1 为 172.16.1.0/24 及 172.16.2.0/24 这 两 条 子 网 路 由 生成 汇总 路 由 。 
R1 的 关键 配置 如 下 : 


[RiJbgp 100 
[Rli-bgplageregate 172.16.0.0 16 





Li 使 用 aggregate 命令 ， 用 户 可 以 灵活 地 指定 汇总 路 由 的 目的 网 络 掩 码 长 度 ， 而 且 
不 受 网 络 地 址 类 别 的 限制 。 此 处 为 了 简单 起 见 ， 我 们 直接 将 汇总 路 由 配置 为 172.16.0. 
0/16。 


完成 上 述 配 置 后 ， 如 果 Rl 的 BGP 路 由 表 中 存在 172.16.0.0/16 这 个 网 络 下 的 子 网 路 
由 ， 它 便 会 产生 BGP 汇总 路 由 172.16.0.0/16， 并 且 将 这 条 汇总 路 由 通告 给 所 有 的 BGP 
对 等 体 ， 包 括 R3 及 R2， 如 图 7-34 所 示 。 这 里 实际 上 存在 两 个 问题 ， 第 一 个 问题 是 配置 
aggregate 172.16.0.0 16 命令 后 ， 虽 然 R1 的 确 产 生 了 汇总 路 由 ， 但 是 该 汇总 路 由 下 的 明 
细 路 由 依然 会 被 通告 ， 也 就 是 说 R2 将 会 学 习 到 172.16.1.0/24、172.16.2.0/24 路 由 以 及 汇 
总 路 由 172.16.0.0/16， 因 此 实际 上 在 R1 上 所 做 的 路 由 汇总 配置 意义 并 不 大 ，R1 所 通告 
的 路 由 前 级 数量 并 未 减少 ，R2 的 路 由 表 规 模 也 并 未 减 小 。 另 一 个 问题 是 ，R1 所 产生 的 
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这 条 汇总 路 由 ， 由 于 丢失 了 明细 路 由 的 路 径 信 息 《〈 尤 其 是 AS_Path 属性 )， 因 此 它们 会 
被 通告 给 R3 并 被 它 接收 ， 而 且 加 载 到 路 由 表 ， 这 样 束 产生 了 路 由 环 路 的 隐患 。 


172.16.0.0/16 


172.16.1.024 
172.16.0.0/16 172.16.2.0/24 
R3 Ri R2 
172.16.1.0/24 | _ | 
172.16.2.0/24 ] CE 3 CEB 
AS 300 AS 100 AS 200 





: 闸 如 < 
[Rl1-bgp] aggregate 172.16.0.0 16 BGP 路 由 通 全 


图 7-34 在 Rl1 上 部 署 aggregate 命令 


BGP 通过 aggregate 命令 的 可 选 字 关键 字 来 解决 上 述 问 题 。 

2. 使 用 aggregate detail-suppressed 命令 配置 路 由 汇总 

现在 ， 我 们 修改 R1 上 的 配置 ， 将 aggregate 命令 修改 为 : 

[Rllbgp 100 

[R1-bgp]jaggregate 172.16.0.0 16 detail-suppressed 

使 用 aggregate 172.16.0.0 16 命令 ，R1 将 产生 汇总 路 由 172.16.0.0/16 并 且 将 汇总 
及 明细 路 由 都 通告 给 R2， 如 果 在 这 条 命令 中 增加 detail-suppressed 关键 字 ，R1 将 只 通 
告 汇 总 路 由 ， 而 抑制 明细 路 由 ， 如 图 7-35 所 示 。 完 成 上 述 配置 后 ，R1 的 BGP 路 由 表 
如 下 : 


<R1>display bgp routing-table 


BGP Local router ID is 1.1.1.1 

Status codes: * - valid, > - best, d - damped, 
h - history, - 1- internal, s - suppressed, S - Stale 
Origin :i- IGP, e - EGP, ? - incomplete 


Total Number of Routes: 3 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*> 172.16.0.0 ~ 127.00.1 0 i 
s> 172.16.1.0/24 10.1.13.3 0 二 0 300i 
s> “172.16.2.0/24 10.1.13.3 0 0 300i 
一 172.16.0.0/16 172.16.0.0/16 | 
AS _Path=100 


AS_Path=100 


RI1 


| -172.16.1.0/24 
| 172.162.0/24 










AS 300 AS 200 
> 妊 灶 - 
[R1-bgp] aggregate 172.16.0.0 16 detail-suppressed BGP 路 由 通告 


图 7-35 使 用 aggregate detail-suppressed 命令 配置 路 由 汇总 


在 Rl 的 BGP 路 由 表 中 ， 明 细 路 由 172.16.1.0/24 及 172.16.2.0/24 在 行 首都 有 “s” 
标记 ， 这 意味 看 这 些 明 细 路 由 已 经 被 抑制 ， 不 再 被 通告 给 其 他 BGP 对 等 体 。 
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再 看 R2 的 BGP 路 由 表 : 


<R2>display bgp routing-table 


BGP Local router ID is 2.2.2.2 

Status codes: * - valid, > - best, d - damped, 
h-history, i- internal, s - suppressed, S - Stale 
Origin : 1= [GP, ¢ - EGP, ? - incomplete 


Total Number of Routes: 1 
Network NextHop MED LocPrf PrefVal Path/Ogn 


pe ee fs on A 0 I pa 0 1001 

从 上 述 输出 可 以 看 到 ，R2 的 BGP 路 由 表 已 经 变 得 更 加 简洁 了 ， 仅 存在 一 条 BGP 汇 
总 路 由 ， 如 此 一 来 ， 我 们 在 R1 上 部 署 的 路 由 汇总 操作 也 就 有 了 实际 的 意义 。 

在 Rl1 上 使 用 display bgp routing-table 172.16.0.0 命令 可 以 查看 该 条 BGP 路 由 的 详 
细 信 息 : 


<R1>display bgp routing-table 172.16.0.0 


BGP local router ID : 1.1.1.1 
Local AS number : 100 
Paths: 1 available, 1 best, 1 select 
BGP routing table entry information of 172.16.0.0/16: 
Aggregated route. : 
Route Duration: 00h14m38s 
Direct Out-interface: NULL0 
Original nexthop: 127.0.0.1 
Qos information : Ox0 
AS-path Nil, origin igp, pref-val 0, valid, local, best, select, active, pre 255 


Aggregator: AS 100, Aggregator ID 1.1.1.1, Atomic-aggregate 
Advertised to such 2 peers: 
3 
1 


上 述 输出 显示 172.16.0.0/16 是 一 条 汇总 路 由 〈Aggregated route)， 而 且 该 条 路 由 的 
AS _Path 属性 值 显示 “Nil”， 也 束 是 为 室 ， 这 意味 看 汇总 路 由 丢失 了 明细 路 由 的 AS_Path 
属性 , BGP 依赖 AS_Path 实现 防 环 , 因此 AS Path 属性 的 丢失 将 带 来 路 由 环 路 隐患 。 BGP 
设计 了 男 一 个 关键 学 解决 这 个 问题 。 

3， 使 用 aggregate detail-suppressed as-set 命令 配置 路 由 汇总 

当 使 用 aggregate 命令 配置 BGP 路 由 汇总 时 ， 如 果 增 加 as-set 关键 字 ， 则 产生 的 汇 
总 路 由 将 会 继承 明细 路 由 的 路 径 属性 ， 其 中 AS Path 属性 的 继承 最 为 关键 。 现 在 将 RI1 
的 配置 修改 为 如 下 : 


[Rllbgp 100 
[R1-bgp]aggregate 172.16.0.0 16 detail-suppressed as-set 


完成 上 述 配 置 后 ，R1 将 抑制 明细 路 由 172.16.1.0/24 及 172.16.2.0/24， 只 通告 汇总 路 
由 172.16.0.0/16〈 这 得 益 于 detail-suppressed 关键 字 )， 而 且 由 于 命令 中 使 用 了 as-set 关 
键 字 ， 因 此 该 条 汇总 路 由 将 继承 172.16.1.0/24 及 172.16.10.0/24 这 两 条 明细 路 由 的 路 径 
属性 。 我 们 重点 关注 AS_Path 属性 的 继承 。 首 先 查 看 一 下 R2 的 BGP 路 由 表 : 
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<R2>display bgp routing-table 


BGP Local router ID is 2.2.2.2 

Status codes: * - valid, > - best, d - damped, 
h - history， i- internal, s - suppressed, S - Stale 
Origin : i - IGP, ¢ - EGP, ? - incomplete 


Total Number of Routes: 1 | 
Network NextHop MED LocPrf 0 Path/Ogn 
*> 172.16.0.0 OT 100 300i 


从 R2 的 BGP 路 由 表 可 以 看 出 ， 它 从 R1 收 到 的 这 条 汇 总 路 由 的 AS Path 属性 有 了 
明显 的 变化 ， 在 使 用 as-set 关键 字 之 后 ，R1 产生 的 汇总 路 由 将 会 继承 明细 路 由 172.16. 
1.0/24 及 172.16.2.0/24 的 AS_Path 属性 值 ， 因 此 300 这 个 AS 号 被 写 入 汇总 路 由 的 AS _ 
Pat 然后 R1 将 汇总 路 由 通告 给 EBGP 对 等 体 R2 时 ， 在 该 AS_Path 之 前 插入 本 地 AS 

号 100， 这 条 汇总 路 由 最 终 被 加 载 到 R2 的 BGP 表 中 时 ，AS Path 为 100 300， 如 
图 7-36 所 示 。 男 一 方面 ， 由 于 Rl1 所 产生 的 这 条 汇总 路 由 继承 了 明细 路 由 的 AS_Path 属 
性 ， 因 此 R3 从 Rl1 收 到 关于 该 路 由 的 更 新 后 ， 在 路 由 的 AS_Path 中 将 看 到 目 己 本 地 的 
AS 号 ， 于 是 它 将 忽略 这 个 更 新 。 如 此 一 来 ， 路 由 环 路 的 隐患 也 就 可 以 得 到 规避 。 


_172.16.0.0/16 172.16.0.0/16 _ 
AS_Path=100 300 AS Path=10) 300 
| 1 









172.16.1.0/24 
172.16.2.0/24 


| AS 300 


mr gm ew we wn re er i NW 


[Rl1-bgp| aggregate 172.16.0.0 16 detail-suppressed as-set BGP 路 由 通告 
一 


图 7-36 ”使 用 aggregate detail-suppressed as-set 命令 配置 路 由 汇总 


4. 在 aggregate 命令 中 使 用 suppress-policy 关键 字 

在 使 用 aggregate 命令 配置 路 由 汇总 时 ， 还 可 以 搭配 suppress-policy 关键 字 ， 这 个 
关键 字 用 于 通告 汇总 路 由 以 及 被 选 定 的 明细 路 由 ( 换 句 话说 ， 就 是 有 选择 性 地 抑制 明细 
路 由 )。 

以 图 7-37 为 例 ， 如 果 要 求 R1 将 汇总 路 由 172.16.0.0/16 以 及 除了 172.16.1.0/24 之 外 
的 其 他 明细 路 由 都 通告 给 R2， 使 用 suppress-policy 便 可 以 轻松 实现 这 个 需求 ，R1 的 配 
置 如 下 : 


# 创 建 人 P 前 级 列表 no-subnet-1， 在 该 前 缀 列表 的 语句 中 允许 172.16.1.0/24 路 由 : 
[RI1lip ip-prefix no-subnet-1 permit 172.16.1.0 24 


# 创 建 Route-Policy hcnp1， 并 创建 节点 10， 在 其 中 调用 他 前 织 列 表 no-subnet-1: 
[Rilroute-policy hcnpl permit node 10 

[R1-route-policy]if-match ip-prefix no-subnet-1 - 

[Rl1-route-policy]Jquit 


# 部 署 BGP 路 由 汇总 : 
[Rljbgp 100 
[Rl-bgplaggregate 172.16.0.0 16 suppress-policy hcnpl 
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| | 172.16.0.0/16 
f 扩大 #6 王公 志 i - 
| | 172.16.2.0/24 
| R3 | | RI | R2 | 
| 172.16.1.0/24 | | 
| 172.16.2.0/24 ] | | | 
| | | | 

| AS300 AS100 | | AS 200 | 


BGP 路 由 通告 
一 一 
图 7-37 使 用 suppress-policy 关键 字 通 告 汇总 路 由 以 及 被 选 定 的 明细 路 由 


在 上 述 配 置 中 ， 我 们 首先 定义 了 一 个 名 称 为 no-subnet-1 的 卫 前 级 列表 ， 并 使 用 这 
个 IP 前 级 列表 允许 了 路 由 172.16.1.0/24。 接 独创 建 了 一 个 名 称 为 henpl 的 Route-Policy， 
并 在 这 个 Route-Policy 的 节点 10 中 调用 已 经 定义 好 的 IP 前 级 列表 no-subnet-1。 最 后 ， 
在 BGP 的 配置 视图 下 ， 使 用 aggregate 172.16.0.0 16 suppress-policy hcnpl 命令 通告 汇 
总 路 由 172.16.0.0/16 以 及 被 选 定 的 明细 路 由 《抑制 172.16.1.0/24 路 由 ， 放 行 其 他 明细 


路 由 )。 





suppress-policy 关键 字 意 为 “抑制 策略 ”, 因此 该 关键 字 所 指定 的 Route-Policy 中 ， 
被 允许 (Permit) 的 路 由 将 会 被 抑制 。 留 意 到 IP 前 级 列表 no-Subnet-1l 的 这 条 语句 的 匹配 
模式 为 Permit， 而 且 Route-Policy henpl 的 节点 10 的 匹配 模式 也 为 Permit， 所 以 只 有 
172.16.1.0/24 路 由 被 “允许 ”。 


因此 最 终 R2 将 学 习 到 汇总 路 由 172.16.0.0/16 以 及 除了 172.16.1.0/24 之 外 的 其 他 明 
细 路 由 。 值 得 注意 的 是 ，suppress-policy 虽然 调用 了 Route-Policy， 但 是 被 调用 的 
Route-Policy 只 能 用 于 路 由 匹配 (只 能 使 用 证 match 命令 )， 不 能 用 于 设置 路 由 属性 (不 
能 配置 apply 命令 )。 此 时 ，R1 的 BGP 表 如 下 : 

[Rildisplay bgp routing-table 

BGP Local router ID is 1.1.1.1 

Status codes: * = valid, > - best, d - damped, 


h - history, i- internal, s - suppressed, S - Stale 
Origin :1-JGP e - EGP, ? - ncomplete 


Total Number of Routes: 3 


Network NextHop MED LocPrf PrefVal Path/Ogn 

+ 172:16:0:0 127.0.0.1 0 i 

8S> 172.16.1.0/24 10.1.13.3 0 0 300i 

*> 172.16.2.0/24 10.1.13.3 0 0 300i 
172.16.1.0/24 路 由 有 “s” 标 记 ， 表 明 该 条 路 由 被 抑制 。 
R2 的 BGP 表 如 下 : 
<R2>display bgp routing-table 

BGP Local router ID is 2.2.2.2 


Status codes: * - valid, > - best, d - damped, 
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h - history, 1- internal, s - SuDPressed, S - Stale 
Origin : 1- IGP, e - EGP, ? -incomplete 


Total Number of Routes: 2 


Network NextHop MED LocPrf PrefVal Path/Ogn 
#>: 72,16.0.0 10.1.12.1 0 100i 
*> 172.16.2.0/24 10.1.12.1 0 100 300i 


5. 在 aggregate 命令 中 使 用 origin-policy 关键 字 

我 们 已 经 知道 ， 当 使 用 aggregate 172.16.0.0 16 命令 在 R1 上 部 署 手 工 路 由 汇总 时 ， 
只 要 Rl 的 BGP 路 由 表 中 存在 有 效 的 、172.16.0.0/16 内 的 子 网 路 由 ，R1 便 会 通告 汇总 路 
由 172.16.0.0/16,， 这 条 汇总 路 由 是 为 其 所 上 履 兰 的 明细 路 由 而 生 的 。 只 要 R1 能 够 顺利 学 习 
到 BGP 明细 路 由 172.16.1.0/24 或 172.16.2.0/24, 那么 它 就 会 通告 172.16.0.0/16 汇总 路 由 
(两 条 明细 路 由 只 要 存在 一 条 即 可 触发 汇总 路 由 的 产生 )， 当 然 ， 如 果 172.16.1.0/24 以 及 
172.16.2.0/24 同时 失效 , 这 意味 看 RI1 已 经 失去 了 172.16.0.0/16 的 所 有 子 网 路 由 , 它 将 撤 
销 汇 总 路 由 172.16.0.0/16， 并 且 仅 在 重新 收 到 至 少 一 条 明细 路 由 后 ， 才 会 再 次 通告 该 条 
汇总 路 由 。 

在 某 些 场景 中 ， 我 们 可 能 希望 汇总 路 由 的 产生 ， 只 以 某 条 或 者 某 些 特定 的 明细 路 由 
为 触发 条 件 ， 例 如 希望 只 有 当 RI1 的 BGP 路 由 表 中 存在 有 效 的 172.16.1.0/24 路 由 时 ， 才 
触发 其 产生 汇总 路 由 172.16.0.0/16， 而 当 明 细 路 由 172.16.1.0/24 丢失 , 则 R1 不 再 通告 该 
条 汇总 路 由 ， 那 么 就 需要 使 用 origin-policy 关键 字 了 。RI 的 配置 如 下 : 

# 创 建 PP 前 级 列表 subnet-1， 在 该 前 级 列表 的 语句 中 允许 172.16.1.0/24 路 由 : 

[Rl1lip ip-prefix subnet-1 permit 172.16.1.0 24 


# 创 建 Route-Policy henp2， 并 创建 节点 10， 在 其 中 调用 了 前 缀 列表 subnet-1: 
[Rl lroute-policy henp2 permit node 10 

[Rl1-route-policyl]if-match ip-prefix subnet-1 

[Ri-route-policy]Jquit = 


# 执 行路 由 手工 汇总 命令 时 ， 增 加 origin-policy 关键 字 ， 并 指定 已 经 创建 好 的 Route-Policy hcnp2: 


[Rljbgp 100 
[Rl-bgplaggregate 172.16.0.0 255.255.0.0 origin-policy henp2 


现在 如 果 172.16.1.0/24 网 段 失效 ，R3 将 撤销 172.16.1.0/24 路 由 ， 这 将 导致 R1 丢失 
该 条 明细 路 由 ， 由 于 R1 所 配置 的 汇总 路 由 172.16.0.0/16 被 指定 为 与 172.16.1.0/24 路 由 
强 相 关 ， 因 此 当 该 条 明细 路 由 丢失 时 ，R1 不 再 通告 汇总 路 由 。 此 时 R1 的 BGP 表 如 下 : 

[Rl1]display bgp routing-table— 有 

BGP Local router ID is 1.1.1.1 

Status codes: * - valid, > - best, d - damped, 


h = history, i- internal, s - suppressed,S - Stale 
Origin : i- IGP, e - EGP, ? - incomplete 


Total Number of Routes:1  . 
Network NextHop MED LocPrf PrefVal Path/Ogn 


*> 172.16.2.0/24 10.1.13.3 0 0 300i 
从 上 面 的 输出 可 以 看 到 , 虽然 R1 学 习 到 了 子 网 路 由 172.16.2.0/24, 它 却 没有 产生 汇 
总 路 由 172.16.0.0/16。 
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如 果 R1 在 aggregate 172.16.0.0 255.255.0.0 origin-policy hcnp2 命令 中 增加 detail- 
suppressed 关键 字 ， 那么 当 172.16.1.0/24 及 172.16.2.0/24 子 网 都 有 效 时 ，R1 会 把 汇总 路 
由 172.16.0.0/16 以 及 明细 路 由 172.16.2.0/24 都 通告 给 R2， 也 就 是 说 ，detail-suppressed 
关键 字 只 将 明细 路 由 172.16.1.0/24 抑制 了 ， 这 是 由 于 使 用 了 origin-policy hcnp2 关键 字 
后 ， 只 有 172.16.1.0/24 才 被 认为 与 该 汇 轧 路 由 强 相关 。 

另外 ， 如 果 RI1 在 aggregate 172.16.0.0 255.255.0.0 origin-policy henp2 命令 中 增加 
as-set 关键 字 ， 那 么 R1 所 产生 的 汇总 路 由 只 会 继承 被 Route-Policy hcnp2 所 允许 的 明细 
路 由 的 路 径 属性 。 

6. 在 aggregate 命令 中 使 用 attribute-policy 关键 字 

在 aggregate 命令 中 使 用 attribute-policy 关键 字 调 用 一 个 Route-Policy, 可 以 设置 汇 
总 路 由 的 路 径 属 性 。 例 如 要 将 R1 所 产生 的 汇总 路 由 的 MED 属性 值 设置 为 200, 如 图 7-38 
所 示 。 那 么 Rl1 的 配置 如 下 : 

[Rljreute-policy hcnp3 permit node 10 

[R1l-route-policy]japply cost 200 

[R1-route-policyjquit 


[Rijbsgp 100 
[R1-pgp]aggregate 172.16.0.0 255.255.0.0 detail-suppressed attribute-policy hcnp3 


四 省 =200 


| 172.16.1.0/24 
| 172.162.0/24 





| AS300 | | AS 100 | AS 200 | 


Kam ere 


BGP 路 由 通告 
一 人 


图 7-38 在 aggregate 命令 中 使 用 attribute-policy 关键 字 


7.3.6 ”案例 6: 在 network 命令 中 使 用 Route-Policy 修改 路 径 属 性 


Route-Policy 这 个 工具 相信 大 家 已 经 不 卫生 了 ， 本 书 的 “路 由 策略 与 PBR” 一 章 对 
Route-Policy 做 了 深入 的 讲解 。 BGP 拥有 丰富 的 路 由 策略 工具 , 而 Route-Policy 便 是 非 钊 
关键 的 一 个 ， 它 能 在 多 种 场景 下 提升 BGP 对 路 由 的 操控 能 

在 图 7-39 所 示 的 网 络 中 ， 为 了 让 AS 200 及 AS 300 中 的 路 由 器 能 够 学 习 到 去 往 R1 
所 直 连 的 四 个 网 段 的 路 由 ，R1 将 它们 发 布 到 了 BGP。 由 于 172.16.1.0/24 及 172.16.2.0/24 
网 段 被 业务 A 使 用 , 而 172.16.3.0/24 及 172.16.4.0/24 网 段 被 业务 B 使 用 ,为 了 对 这 两 种 
不 同 的 业务 的 路 由 做 区 分 ， 以 便 下 游 的 路 由 器 能 够 有 针对 性 地 进行 路 由 控制 ， 可 以 在 R1 
上 部 署 路 由 策略 ， 使 得 其 通告 给 R2 的 BGP 路 由 携带 Community 属性 ， 其 中 到 达 业 务 A 
网 段 的 路 由 携带 的 Community 属性 值 规划 为 100:1， 而 到 达 业 务 B 网 段 的 路 由 携 市 的 
Community 属性 值 规划 为 100:2。 如 此 一 来 ， 当 R2 或 者 R3 要 对 到 达 业 务 A 及 业务 B 网 
段 的 路 由 执行 路 由 控制 或 过 滤 时 ， 它 们 便 无 需 关 心 每 个 业务 下 所 拥有 的 上 其 体 网 段 信息 ， 
而 只 需 通 过 Community 属性 值 来 区 分 及 匹配 路 由 即 可 。 
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172.16.1.0/24 
172.16.2.0/24 
Community=100:1] 


172.16.3.0/24 
172.16.4.0/24 
站 | Community=100:2 
172.16.1.0/24 一 人 
业务 A -| 172.16.2.0/24 

172.16.3.0/24 
172.16.4.0/24 


172.16.1.0/24 
172.16.2.0/24 
Community=100:1 





172.16.3.0/24 
172.16.4.0/24 
Community=100:2 






业务 B 二 101.233 


AS 100 : AS 200 AS 300 
BGP 路 由 通告 
一 一 人 
图 7-39 ”在 network 命令 中 使 用 Route-Policy 设置 路 由 的 路 径 属性 
R1 的 关键 配置 如 下 : 


[Rllroute-policy applycommul permit node 10 
[Rl-route-policy]apply community 100:1 
[Ri-route-policy]quit 


[R1]jroute-policy applycommu2 permit node 10 


[Rl-route-policy]Japply community 100:2 
[Rl-route-policy]Jqguit 


[Rljbgp 100 

[R1I-bgpjpeer 10.1.12.2 as-number 200 

[Rl-bgplnetwork 172.16.1.0 24 route-policy applycommul 
[Rl-bgplnetwork 172.16.2.0 24 route-policy applycommul 
[RI-bgpjnetwork 172.16:3.0 24 route-policy applycommu?2 
[Ri-bgplnetwork 172.16.4.0 24 route-policy applycommu2 


在 上 面 给 出 的 配置 中 ，R1 首先 创建 了 两 个 Route-Policy， 这 两 个 Route-Policy 均 只 
有 一 个 匹配 模式 为 Permit 的 节点 ， 而 且 都 只 配置 了 一 条 apply 语句 ，applycommnul 的 节 
点 10 中 的 apply 语句 是 将 Community 值 设 置 为 100:1， 而 applycommu2 的 节点 10 中 的 
apply 语句 是 将 Community 属性 值 设 置 为 100:2。 随 后 在 BGP 配置 视图 下 ， 四 条 路 由 被 
network 个 令 友 布 到 了 BGP， 留 意 到 在 发 布 路 由 172.16.1.0/24 及 172.16.2.0/24 的 时 候 关 
联 了 Route-Policy applycommul， 如 此 一 来 ， 这 两 条 路 由 被 发 布 到 BGP 时 都 将 设置 
Community 属性 ， 且 属性 值 为 100:1; 而 在 发 布 路 由 172.16.3.0/24 及 172.16.4.0/24 的 时 
做 关 联 了 Route-Policy applycommu2， 因 此 这 两 条 路 由 被 发 布 到 BGP 时 被 设置 了 值 为 
100:2 的 Community 属性 。 

完成 上 述 配置 后 ， 以 172.16.1.0/24 路 由 为 例 ， 在 R1 上 使 用 display bgp routing-table 
172.16.1.0 命令 可 以 查看 该 路 由 的 详细 信息 : 


<Rl>display bgp routing-table 172.16.1.0 


BGP local router ID : 10.1.12.1 二 
Local AS number : 100 

Paths: 1 available, 1 best, 1 select 

BGP routing table entry information of 172.16.1.0/24: 
Network route. 
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From: 0.0.0.0 (0.0.0.0) 
Route Duration: 00h09m1lls 
Direct Out-interface: LoopBackl 
Original nexthop: 172.16.1.1 
Qos information : Ox0 
Community:<100:1> 
AS-path Nil, origin igp, MED 0, pref-val 0, valid, local, best, select, pre 0 
Advertised to such 1 peers: 
10.1.12.2 


从 以 上 输出 可 以 看 到 ，172.16.1.0/24 这 条 BGP 路 由 已 经 设置 了 Community 属性 ， 
而 且 属 性 值 为 100:1， 这 说 明 路 由 策略 已 经 生效 了 ， 同 理 其 他 三 条 路 由 也 都 已 经 被 设置 
了 相应 的 Community 属性 值 。R1 会 将 这 四 条 BGP 路 由 都 通告 给 EBGP 对 等 体 R2， 但 
是 缺 省 情况 下 ，R1 并 不 会 将 这 些 路 由 的 Community 属性 一 并 通告 给 R2， 此 时 还 需要 在 
R1 上 增加 一 条 命令 , 使 得 Rl 在 向 R2 通告 BGP 路 由 时 , 也 将 路 由 的 Community 属性 通 
告 出 去 。R1 需 增 加 如 下 配置 : 

[Rijbgp 100 

[Rl1-bgplpeer 10.1.12.2 advertise-community 

完成 上 述 配 置 后 ， 可 在 R2 上 查看 这 四 条 BGP 路 由 ， 以 172.16.1.0/24 路 由 为 例 : 


<R2>display bgp routing-table 172.16.1.0 


BGP local router ID : 10.1.12.2 
Local AS number : 200 
Paths: 1 available, 1 best, 1 select * 
BGP routing table entry information of 172.16.1.0/24: 
From: 10.1.12.1(10.1.12.1) 
Route Duration: 00h00m14s 
Direct Out-interface: GigabitEthernet0/0/0 
Original nexthop: 10.1.12.1 
Qos information : 0x0 
Community:<100:1> 
AS-path 100, origin igp, MED 0, pref-val 0, valid, external, best, select, active, pre 255 
Advertised to such 2 peers: 
10.1.12.1 
10.1.23.3 


从 以 上 输出 能 看 到 ，R2 已 经 学 习 到 了 172.16.1.0/24 路 由 ， 而 且 路 由 也 携带 了 
Community 属性 。 需 要 注意 的 是 ，R2 会 将 自己 学 习 到 的 这 四 条 BGP 路 由 通告 给 R3， 当 
然 ， 它 的 缺 省 行为 ye Community 属性 ， 所 以 如 果 希 望 R3 在 
学 习 到 这 些 路 由 时 ， E 够 一 并 获知 路 由 所 携带 的 Community 属性 ， 那 么 R2 也 需要 增 
加 如 下 配置 : 

[R2]bgp 200 

[R2-bgplpeer 10.1.23.3 advertise-community 


7.3.7 ”案例 7: 在 peer 命令 中 使 用 Route-Policy 部 署 路 由 策略 


在 7.3.6 节 中 ，R1 使 用 network 命令 问 BGP 发 布 路 由 时 关联 了 Route-Policy， 并 通 
过 该 工具 为 路 由 设置 路 径 属性 , 使 得 R1 发 布 的 BGP 路 由 都 携 市 了 相应 的 Community 属 
性 值 。 现 在 我 们 要 在 R2 上 部 署 路 由 策略 ， 首 先 对 其 从 R1 收 到 的 BGP 路 由 进行 过 滤 ， 
只 将 到 达 业 务 A 网 段 的 路 由 过 滤 挥 ， 其 次 ， 要求 它 在 同 R3 通告 BGP 路 由 时 ， 为 到 达 业 
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务 B 网 段 的 路 由 添加 No- ee 的 Community 属性 值 ， 如 图 7-40 所 示 ， 使 得 该 路 由 只 
能 在 AS 300 内 传播 。 设 想 一 下 ， 如 果 没 有 Community 属性 ， 此 时 便 需 要 在 R2 上 首先 创 
建 ACL 或 者 IP 前 级 列表 , 分 别 用 于 匹配 到 达 业 务 A 及 业务 B 网 段 的 路 由 ， 而 且 如 果 这 
两 个 业务 存在 大 量 网 段 的 话 ， 编 写 这 些 ACL 或 IP 前 级 列表 就 是 一 项 繁重 的 工作 。 然 而 
得 葵 于 Community 属性 ,此 处 不 再 需要 关注 特定 的 路 由 前 级 ,只 需 根据 路 由 的 Community 
属性 值 即 可 将 路 由 匹配 出 来 。 


172.16.1.0/24 
172.16.2.0/24 
Community=100:1 


172.16.3.0/24 
172.16.4.0/24 


™| Community=100:2 


172.16.1.0/24 
业务 A 中 16.2.0/24 





172.16.3.0/24 
业务 8 172.16.4.0/24 
AS 100 | AS 200 | | AS 300 
BGP 路 由 通告 
一 


图 7-40 在 peer 命令 中 使 用 Route-Policy 部 区 路 由 策略 


本 案例 将 为 大 家 展示 如 何 使 用 Community 属性 值 来 匹配 路 由 ， 以 及 如 何 针 对 特定 的 
BGP 对 等 体 部 着 路 由 策略 。 


R2 的 关键 配置 如 下 : 

# 定 义 两 个 Community 属性 过 滤器 : 
[R2]ip community-filter1 permit 100:1 
[R2]ip community-filter 2 permit 100:2 


# 创 建 名 称 为 FromR1 的 Route-Policy， 并 创建 2 个 节点 ， 该 Route-Policy 用 于 部 署 路 由 过 滤 : 
[R2]jroute-policy FromR1l deny node 10 

[R2-route-policy]if-match community-filter 1 

[R2-route-policy]quit 

[R2]route-policy FromR1 permit node 20 


# 创 建 名 称 为 ToR3 的 Route-Policy 
[R2]route-policy ToR3 permit node 10 
[R2-route-policy]if-match community-filter 2 
[R2-route-policylapply community no-export additive 
[R2-route-policy]quit 


#R2 对 R1 执行 入 方向 的 路 由 策略 、 对 R3 执行 出 方向 的 路 由 策略 : 
[R2jbgp 200 

[R2-bgpjpeer 10.1.12.1 route-policy FromR 1 import 

[R2-bgp]peer 10,1.23,3 route-policy ToR3 export 

[R2-bgp]peer 10.1.23.3 advertise-community 


在 以 上 配置 中 ，R2 首先 创建 了 两 个 Community 过 滤器 《也 叫 团 体 属 性 过 滤 堪 )， 
Community 过 滤器 是 一 个 用 于 匹配 BGP 路 由 的 工具 ， 它 能 够 根据 Ser 属性 值 对 
路 由 进行 匹配 。 以 ip community-filter 1 permit 100:1 这 条 命令 为 例 ， 该 命令 创建 了 一 条 
名 称 为 1 的 Community 过 滤器 ， 而 且 匹 配 的 是 Community 属性 值 含 100:1 的 路 由 ,该 过 
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滤 伏 将 用 于 匹配 到 达 业 务 A 网 段 的 路 由 。 同 理 Community 过 波 需 2 将 用 于 匹配 到 达 业 务 
B 网 段 的 路 由 。 接 看 R2 在 Route-Policy FromR1 中 定义 了 一 个 匹配 模式 为 Deny 的 节点 
10， 并 且 在 该 节点 中 调用 Community 过 滤 需 1。Route-Policy FromR1 的 节点 20 用 于 将 
所 有 其 他 的 路 由 放行 。R2 将 该 Route-Policy 对 R1 执行 并 且 用 在 了 入 方向 (Import)。 此 
外 ，R2 还 在 Route-Policy ToR3 中 定义 了 一 个 匹配 模式 为 Permit 的 节点 ， 并 在 该 节点 中 
调用 Community 过 滤器 2， 然 后 配置 了 apply community no-export additive 命令 ， 该 命 
令 用 于 在 被 匹配 路 由 原 有 的 Community 属性 值 的 基础 上 添加 一 个 No-Export 属性 值 〈 如 
果 不 在 该 命令 中 使 用 additive 可 选 关 键 字 ,那么 路 由 原 有 的 Community 属性 值 将 被 蔡 换 
成 该 命令 所 指定 的 值 )。R2 将 Route-Policy ToR3 对 R3 执行 且 用 在 了 出 方向 (Export )。 
完成 上 述 配 置 后 ， 首 先 看 一 下 R2 的 BGP 路 由 表 : 


<R2>display bgp routing-table 


BGP Local router ID is 2.2.2.2 > 

Status codes: * - valid, > - best, d - damped, 
h - history, 1- internal, s - suppressed, S - Stale 
Origin : 1- IGP, ¢ - EGP, ? - incomplete 


Total Number of Routes: 2 | 
Network NextHop MED- LocPrf PrefVal Path/Ogn 


*> 172.16.3.0/24 10.1:12.1 0 0 100i 
*> 172.16.4.0/24 10.1.12.1 0 100i 


从 以 上 输出 可 以 看 出 ，R2 已 经 将 R1 所 通告 的 、 到 达 业 务 A 网 段 的 路 由 过 才 滤 掉 了 。 
接 下 来 ， 在 R3 上 查看 172.16.3.0/24 路 由 的 详细 信息 : 


<R3>display bgp routing-table 172.16.3.0 


BGP local router ID : 3.3.3.3 

| Local AS number : 300 

~ “Paths: 1 available, 1 best, ] select 

BGP routing table entry information of 172.,16,3.0/24: 
From: 10.1.23.2 (2.2.2.2) 
Route Duration: 00hO0mS$0s 
Direct Out-interface: GigabitEthernet0/0/0 
Original nexthop: 10.1.23.2 
Qos information : Ox0 
Community:<100:2>, no-export 
AS-path 200 100, origin igp, pref-val 0, valid, external, best, select, active, 
pre 255 
Not advertised to any peer yet 


7.3.8 案例 8: 在 peer 命令 中 使 用 Filter-Policy 过 滤 路 由 


Filter-Policy 是 一 个 用 于 路 由 信息 过 滤 的 工具 ， 本 书 在 “路 由 策略 与 PBR” 一 章 中 曾 
问 大 家 介绍 过 这 个 工具 。 包括 RIP、OSPF 在 内 的 许多 路 由 协议 都 文 持 Filter-Policy，BGP 
也 是 文 持 的 。 

在 图 7-41 中 ， 处 于 AS 100 的 R1 在 BGP 中 发 布 了 四 条 路 由 ， 缺 省 情况 下 ，R2 及 
R3 都 将 学 习 到 这 四 条 BGP 路 由 。 现 在 要 求 R2 将 BGP 路 由 通告 给 R3 时 ， 过 滤 掉 
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172.16.3.0/24 及 172.16.4.0/24 这 两 条 路 由 ， 而 放行 其 他 路 由 。 


172.16.1.0/24 172.16.1.0/24 
172.16.2.0/24 172.16.2.0/24 
—172.16.3.0/24 二 
172.16.4.0/24 4234464:24 
172.16.1.0/24 RI1 一 一 R2 一 一 一 一 一 化 R3 
172.16.2.0/24 | | 
172.16.3 .0/24 PO] 10.1.23.3 
172.16.4.0/24 
AS 100 AS 200 AS 300 
BGP 路 由 通告 
一 
图 7-41 使 用 Filter-Policy 命令 过 滤 BGP 路 由 
R2 的 配置 如 下 : 
[R2]acl 2000 


[R2-acl-basic-2000]rule deny source 172.16.3.0 0.0.0.0 
[R2-acl-basic-2000]rule deny source 172.16.4.0 0.0.0.0 
[R2-acl-basic-2000]rule permit 
[R2-acl-basic-2000]quit 


[R2]bgp 200 

[R2-bgpjpeer 10.1.12.1 as-number 100 
[R2-bgplpeer 10.1.23.3 as-number 300 
[R2-bgplpeer 10.1.23.3 filter-policy 2000 export 


在 以 上 配置 中 ， 我 们 首先 定义 了 ACL2000， 在 该 ACL 中 拒绝 了 172.16.3.0 及 
172.16.4.0 路 由 ,然后 允许 了 其 他 路 由 。 接 看 在 BGP 的 配置 视图 中 ，peer 10.1.23.3 filter- 
policy 2000 export 命令 用 于 在 出 方 同 对 R3 施加 Filter-Policey， 从 而 调用 前 而 定义 好 的 
ACL2000 执行 路 由 过 滤 。 

完成 上 述 配 置 后 ，R3 的 BGP 路 由 表 如 下 : 

<R3>display bgp routing-table 

BGP Local router ID is 10.1.23.3 
Status codes: * - valid, > - best, d - damped, 


h-history, 1i- internal,s - suppressed, S - Stale 
Origin :1- IGP, e - EGP, ? - incomplete 


Total Number of Routes: 2 


Network _ NextHop MED LocPrf PrefVal Path/Ogn 
年 > 172.16.1.0/24 10.1.23.2 0 200 1001 
*> 172.16.2.0/24 10.1.23.2 0 200 100i 
可 以 看 到 ，R3 的 BGP 路 由 表 中 只 有 两 条 路 由 ， 而 172.16.3.0/24 及 172.16.4.0/24 已 






“TT 在 本 案例 中 ，R2 对 R3 执行 了 出 方向 的 Filter-Policy， 在 BGP 中 ，Filter-Policy 也 
能 被 应 用 在 入 方向 ， 此 时 只 需 将 命令 中 的 Export 关键 字 换 成 Import 即 可 。 
另外 ， 如 果 在 R2 上 创建 Route-Policy 来 允许 或 拒绝 感 兴趣 路 由 ， 并 通过 peer 命令 
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调用 该 Route-Policy， 对 R3 应 用 在 出 方向 ， 那 么 也 可 以 实现 本 案例 的 路 由 过 滤 需 求 。 
7.3.9 ”案例 9: 在 peer 命令 中 使 用 ip-prefix 过 滤 路 由 


图 7-41 中 的 案例 ， 通 过 在 peer 命令 使 用 ip-prefix 关键 字 可 以 实现 同样 的 需求 。 
[R2]ip ip-prefix a deny 172.16.3.0 24 


[R2]ip ip-prefix a deny 172.16.4.0 24 
[R2jip ip-prefix a permit 0.0.0.0 0 less-equal 32 


[R2jbsgp 200 

[R2-bgpjrouter-id 2.2.2.2 

[R2-bgp]peer 10.1.12.1 as-number 100 
_ [R2-bgplpeer 10.1.23.3 as-number 300 


[R2-bgp]peer 10.1.23.3 ip-prefix a export 

在 以 上 配置 中 ，IP 前 级 列表 a 用 于 匹配 感 兴趣 路 由 ， 它 把 路 由 172.16.3.0/24 及 
172.16.4.0/24 拒绝 了 ， 同 时 允许 了 其 他 路 由 。 男 外 ， 在 BGP 配置 视图 下 执行 的 peer 
10.1.23.3 ip-prefix a export 命令 用 于 针对 R3 施加 出 方 回 的 路 由 过 滤 策 略 , 在 该 命令 中 调 
用 了 已 经 定义 好 的 IP 前 级 列表 a。 如 此 一 来 ， 当 R2 同 R3 通告 BGP 路 由 时 ， 这 些 路 由 
需 首 先 通过 IP 前 绥 列 表 过 滤器 ， 只 有 被 允许 的 路 由 才 会 被 通告 给 R3。 在 BGP 中 ,IP 前 
组 列表 除了 能 像 本 例 中 这 样 用 在 对 等 体 的 出 方 回 ， 也 能 用 于 入 方向， 对 于 后 者 ， 需 在 命 
令 中 使 用 import 关键 字 。 


7.3.10 “案例 10: 使 用 as-path-filter 匹配 BGP 路 由 


我 们 已 经 知道 ，AS_Path 是 BGP 的 公认 强制 属性 ， 所 有 的 BGP 路 由 都 必须 携 市 该 
属性 。 这 个 路 径 属性 摘 述 了 一 条 BGP 路 由 在 传递 过 程 中 所 经 过 的 AS 的 号 码 。AS_Path 
属性 值 可 以 是 寒 个、 一 个 或 多 个 AS 号 但 的 集合 。 以 图 7-42 展示 的 网 络 为 例 , R3 将 BGP 
路 由 1.1.1.0/24 通告 给 R4 时 ， 该 条 路 由 的 AS_Path 属性 值 为 “300 200 100”，R4 收 到 这 
条 BGP 路 由 后 ， 它 便 知道 要 到 达 目 标 网 段 1.1.1.0/24， 需 要 经 过 AS 300 及 AS 200， 最 
终 到 达 AS 100。 实际 上 这 个 AS_Path 属性 值 包含 一 串 数字 ， 其 中 每 个 数字 代表 一 个 AS， 
而 且 AS 号 但 之 轩 使 用 分 隅 符 区 隔 开 来 。 

BGP 路 由 通告 


RI R2 R3 | | R4 


| | | | | 


AS 100 | AS 300 AS 400 


1.1.1.0/24 
AS_Path=100 





1.1.1.0/24 
AS Path=200 100 1.1.1.0/24 
AS Path=300 200 100 


Se 


300 200 100 


图 7-42 AS Path 属性 值 描述 的 是 AS 号 的 序列 
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到 目前 为 止 本 书 已 经 介绍 了 数 种 用 于 匹配 路 由 的 方法 。 最 开始 大 家 了 解 了 如 何 使 用 
ACL 来 匹配 路 由 ， 随 后 又 掌握 了 使 用 IP 前 级 列表 匹配 路 由 的 方法 ， 而 后 通过 匹配 
Community 属性 值 来 匹配 BGP 路 由 的 方法 也 让 我 们 眼前 一 亮 。 然而 ,如果 面 对 这 样 一 个 
需求 :“ 过 滤 掉 从 AS 65501 始 发 的 所 有 BGP 路 由 ”， 显然 前 面 几 种 路 由 匹配 的 方法 就 不 
太 适 用 了 。 从 AS 65501 始 发 的 所 有 BGP 路 由 其 实 拥 有 一 个 共同 的 特点 ， 那 就 是 它们 的 
AS_Path 属性 值 的 末尾 (最 右边 的 AS 号 ) 都 是 65501 这 个 AS 号 ， 那 么 如 果 能 够 通过 匹 
配 AS_Path 属性 值 从 而 匹配 BGP 路 由 ， 这 个 需求 实现 起 来 也 就 相当 简单 了 。 

BGP 确实 拥有 这 样 一 个 工具 ， 它 就 是 as-path-filter (AS 路 径 过 滤器 )。 使 用 
as-path-filter， 再 搭配 正则 表达 式 (Regular Expression)， 即 可 通过 匹配 AS Path 属性 值 
从 而 匹配 BGP 路 由 。 正则 表达 式 是 按照 一 定 的 规则 来 匹配 特定 内 容 的 公式 ， 常 被 用 于 程 
序 开发 中 。 我 们 日 常 上 网 的 过 程 中 也 经 常 与 正则 表达 式 有 交集 (虽然 您 可 能 并 没有 意识 
到 ), 例如 在 一 个 网 站 上 注册 账号 时 ， 用户 在 网 页 的 文本 框 中 输入 手机 号 码 后 ， 页 面 程序 
如 何 确定 该 用 户 所 输入 的 内 容 都 是 数字 而 不 含 字 母 ? 这 时 页 面 代码 就 可 以 使 用 正则 表达 
式 来 执行 计算 。 因 此 正则 表达 式 的 功能 还 是 非常 强大 的 。 

图 7-43 展示 了 正则 表达 式 的 一 个 示例 。 图 中 有 A、B、C 及 DD 四 个 待 匹配 的 对 象 ， 
如 果 使 用 如 图 所 示 的 正则 表达 式 ,那么 最 终 对 象 B 将 满足 正则 表达 式 的 规则 并 被 匹配 住 ， 
因为 该 正则 表达 式 要 求 字 符 串 中 包含 “34”， 而 且 在 “34” 的 前 后 需 各 有 一 个 分 隔 符 (在 
正则 表达 式 中 ， 下 划 线 “″ ”用 于 匹配 分 隔 符 ， 分 隔 符 可 以 是 空格 或 者 逗号 等 )， 显 然 只 
有 对 象 B 匹配 。 对 象 A 虽然 拥有 数字 “34”， 而 且 还 出 现 了 两 次 ,但 是 第 一 次 出 现 的 “34” 
表面 没有 分 隔 符 ， 另 外 数字 “334” 中 虽然 也 出 现 了 “34”， 但 是 “34” 前 面 也 没有 分 隅 
符 ， 因 此 对 象 A 不 匹配 。 同 理 ， 对 象 C 及 D 也 都 不 匹配 。 关 于 正则 表达 式 的 介绍 超出 
了 本 书 的 范围 ， 请 读者 们 上 自行 阅读 相关 资料 补充 这 部 分 知识 。 


[A 134 334 681 211 134 334 681 211 


@@ 1129393401 ,i:@ 29%0340 YY: 


be 33345 344 Vessevess 3 3345 3 eaweeseseeeaaseseaeaeess 
@;34 


@34 








图 7-43 ”正则 表达 式 的 一 个 示例 


下 面 的 案例 将 为 大 家 展示 如 何在 BGP 使 用 as-path-filter 这 个 工具 。 在 图 7-44 中 ， 
AS 100 中 的 路 由 器 向 BGP 发 布 了 到 达 该 AS 内 的 路 由 ,而 R2 也 向 BGP 发 布 了 到 达 AS 
200 内 的 路 由 ， 最 终 R3 将 从 R2 学 习 到 始 发 于 AS 100 及 AS 200 的 BGP 路由。 现在 如 
果 您 作为 AS 34 的 网 络 管理 员 , 要 在 R3 上 部 署 BGP 路 由 策略 ,禁止 R3 从 R2 学 习 到 始 
发 于 AS 100 的 BGP 路 由 ， 该 如 何 配置 呢 ? 

R3 可 使 用 配置 如 下 : 


[R3]Jip as-path-filter 1 deny 100$ 
[R3]ip as-path-filter 1 permit .* 


[R3]Jbgp 34 
[R3-bgplpeer 10.1.23.2 as-path-filter 1 import 
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BGP 对 等 体 


> Do 









始 发 于 AS 100 的 BGP 路 由 
AS Path=]100 





始 发 于 AS 100 的 BGP 路 由 
AS Path=200 100 


始 发 于 AS 200 的 BGP 路 由 
AS Path=200 


始 发 于 AS 200 的 BGP 路 由 
AS Path=34 200 
MED=10000 


ASS00 | 


图 7-44 ”as-path-filter 在 BGP 中 的 运用 


在 上 述 配 置 中 ， 我 们 首先 创建 了 一 个 as-path-filter， 这 个 as-path-filter 的 名 称 为 1， 
并 且 拥 有 两 条 语句 ， 它 将 用 于 匹配 BGP 路 由 的 AS_Path 属性 值 ， 其 中 ip as-path-filter 1 
deny _100$ 用 于 拒绝 AS_Path 属性 值 末尾 为 100 的 BGP 路 由 , 换 句 话说 就 是 拒绝 始 发 于 
AS 100 的 BGP 路 由 。” 100$” 是 一 个 正则 表达 式 ,“$” 表 示 行 尾 。 此 外 ， 第 二 条 语 铝 
ip as-path-filter 1 permit .* 用 于 允许 其 他 所 有 的 BGP 路 由 ,“.*” 也 是 一 个 正则 表达 式 ， 
等 同 于 匹配 任意 内 容 。 最 后 ,在 R3 的 BGP 配置 视图 下 执行 的 peer 10.1.23.2 as-path-filter 
1 import 命令 用 于 针对 R3 从 R2 接收 的 BGP 路 由 执行 过 滤 ， 只 有 被 as-path-filter 1 允许 
的 路 由 才 会 被 R3 接收 ， 被 拒绝 的 路 由 不 会 出 现在 R3 的 BGP 路 由 表 中 。 

As-path-filter 除了 在 上 述 场景 中 应 用 之 外 , 也 能 够 被 Route-Policy 调用 ， 从 而 帮助 路 
由 需 执 行路 由 策略 。 依 然 是 图 7-44 所 展示 的 网 络 ， 如 果 要 求 R4 癌 RS 发 送 路 由 通告 时 ， 
将 所 有 始 发 于 AS 200 的 BGP 路 由 的 MED 属性 值 设 置 为 10000， 那 么 R4 可 以 使 用 如 下 
配置 : 

[R4]ip as-path-filter 2 permit ^200$ 

[R4]route-policy henp permit node 10 

[R4-route-policylif-match as-path-filter 2 

[R4-route-policyjapply cost 10000 

[R4-route-policy]qult 


[R4]route-policy henp permit node 20 
[R4-route-policy]quit 


[R4jbgp 34 
[R4-bgp]peer 10.1.45.5 route-policy hcnp export 


在 上 述 配置 中 ， 我 们 首先 新 建 了 一 个 as-path-filter， 这 个 as-path-filter 用 于 匹配 
AS Path 属性 值 为 200 的 BGP 路 由 ， 而 且 这 些 路 由 的 AS Path 只 能 是 200。“^200$” 是 
一 个 正则 表达 式 ， 其 中 “^” 表 示 行 首 。 随 后 我 们 又 创建 了 一 个 名 称 为 hcnp 的 Route-Policy， 
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这 个 Route-Policy 包含 两 个 节点 ， 在 节点 10 中 计 match 语句 调用 了 已 经 定义 好 的 ed 
filter 2， 然 后 apply 语句 将 被 匹配 住 的 BGP 路 由 的 MED 属性 值 设置 为 10000。 节 点 20 
中 没有 任何 if-match 语句 ， 因 此 节点 20 仅 用 于 将 其 他 路 由 放 通 ， 关中 不 欠 下 中 由 的 性 何 
属性 。 最 后 在 R4 的 BGP 配置 视图 下 ， 我 们 对 R5 应 用 了 Route-Policy hcnp (出 方向 )。 


7.3.11 复位 BGP 


在 菏 些 情况 下 ， 我 们 可 能 需要 复位 对 等 体 之 间 的 BGP 连接 ， 此 时 可 使 用 reset bgp 
命令 , 需要 格外 注意 的 是 , 执行 reset bgp 命令 后 BGP 对 等 体 关 系 将 会 被 复位 , 此 时 BGP 
连接 需要 重建 ， 在 这 个 过 程 中 必 将 导致 路 由 重新 收敛 ， 从 而 影响 网 络 业务 ， 因 此 在 现 网 
中 使 用 该 命令 Pa 慎 。 常 用 的 reset bgp 命令 如 下 。 

。 reset bgp all: 该 命令 将 复位 路 由 器 的 所 有 BGP 连接 。 
reset bgp as-number: 该 命令 将 复位 路 由 器 与 特定 AS 的 BGP 连接 。 
reset bgp peer-address: 该 命令 将 复位 路 由 各 与 特定 对 等 体 的 BGP 连接 。 
reset bgp internal: 该 命令 将 复位 路 由 需 的 所 有 IBGP 连接 。 

。 reset bgp external: 该 命令 将 复位 路 由 右 的 所 有 EBGP 连接 。 

当 我 们 在 路 由 器 上 部 普 BGP 路 由 策略 后 ， 为 了 使 策略 能 够 立即 生效 ， 直 接 将 BGP 
对 等 体 关 系 复 位 代价 往往 太 大 ， 因 为 这 样 会 导致 BGP 连接 重建 从 而 对 网 络 造 成 较 大 影 
啊 。 如 果 设 备 文 持 Route-refresh 特性 ， 那 么 可 以 使 用 refresh bgp 命令 对 BGP 连接 进行 
软 复位 。 所 谓 的 软 复位 指 的 是 在 不 重建 BGP 连接 的 情况 下 ， 刷 新 BGP 路 由 从 而 使 路 由 
策略 立即 生效 的 方法 。 目 前 几乎 所 有 的 主流 BGP 实现 都 支持 Route-refresh 特性 。 支 持 
Route-refresh 特性 的 BGP 设备 之 间 建 立 对 等 体 关 系 时 ， 需 使 用 Open 报 文 协商 双方 的 
Route-refresh 能 

在 路 由 右上 使 用 display bgp peer verbose 命令 ， 可 以 查看 BGP 对 等 体 的 详细 信息 ， 
并 确认 Route-refresh 特性 的 协商 结果 : 


<Huawel>display bgp Peer Verbose 


BGP Peer is 10.1.12.2， remote AS 200 
Type: EBGP link 
BGP version 4. Remote router ID 2.2.2.2 


再 闪闪 


Minimum route advertisement interval is 30 seconds 

Optional capabilities: 

Route refresh capability has been enabled 

4-byte-as capability has been enabled 

Send community has been configured 

Peer Preferred Value: 0 

Routing policy configured: 

No routing policy is configured 
常用 的 refresh bgp 命令 如 下 。 
。 refresh bgp all import: 该 命令 将 使 路 由 器 的 所 有 BGP 连接 在 入 方向 触发 软 复位 。 
。 refresh bgp all export: 该 命令 将 使 路 由 器 的 所 有 BGP 连接 在 出 方向 触发 软 复位 。 
e reset bgp peer-address import: 该 命令 将 使 路 由 器 针对 特定 的 对 等 体 在 入 方向 触 
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De bgp peer-address export: 该 命令 将 使 路 由 器 针对 特定 的 对 等 体 在 出 方向 触发 
Es i bgp external import: 该 命令 将 使 路 由 器 的 所 有 EBGP 连接 在 入 方向 触发 
ee bgp external export: 该 命令 将 使 路 由 器 的 所 有 EBGP 连接 在 出 方向 触发 
Ge bgp internal import: 该 命令 将 使 路 由 器 的 所 有 IBGP 连接 在 入 方向 触发 
Pe i bgp internal export: 该 命令 将 使 路 由 砷 的 所 有 IBGP 连接 在 出 方向 触发 软 
复位 。 

7.4 路 由 反射 器 


关于 BGP 的 AS_Path 属性 大 家 已 经 非常 熟悉 了 ， 这 个 公认 强制 属性 的 重要 性 是 不 言 
而 喻 的 ，BGP 在 AS 之 间 的 路 由 防 环 正 是 依赖 于 AS_Path 属性 。 当 路 由 器 收 到 一 条 BGP 
路 由 并 且 在 该 路 由 的 AS_Path 属性 值 中 发 现 了 上 自己 所 处 AS 的 AS 号 时 ， 它 意识 到 从 本 
AS 传 出 的 路 由 现在 又 被 传递 回 了 该 AS， 它 将 忽略 这 条 路 由 ， 这 可 以 在 极 大 程度 上 避免 
环 路 的 发 生 。 然 而 AS_Path 属性 只 在 AS 之 间 发 生 改 变 ， 当 路 由 在 IBGP 对 等 体 之 间 传 
递 时 ，AS_Path 缺 省 是 不 会 发 生 改 变 的 ,这 意味 痢 在 AS 的 内 部 ，AS_Path 属性 对 于 BGP 
路 由 的 防 环 就 无 能 为 力 了 。 

BGP 定义 了 IBGP 水 平分 割 规则 ,来 防止 BGP 路 由 在 AS 内 部 产生 环 路 。 这 个 规则 
在 很 大 程度 上 杜绝 了 IBGP 路 由 产生 环 路 的 可 能 性 ， 但 是 却 也 融 来 了 新 的 问题 一 一 BGP 
路 由 在 AS 内 部 只 能 传递 一 跳 ， 这 就 可 能 造成 IBGP 路 由 无 法 被 正确 传递 的 问题 。 

在 图 7-45 所 示 的 网 络 中 ，R1 癌 BGP 发 布 了 1.0.0.0/8 路 由 ，R2 会 从 R1 学 习 到 该 路 
由 并 且 将 其 通告 给 R3， 但 是 R3 从 R1 学 习 到 的 这 条 IBGP 路 由 由 于 水 平分 割 规则 的 存 
在 故而 不 能 够 再 被 通告 给 R4 及 RS， 这 就 导致 它们 无 法 学 习 到 1.0.0.0/8 路 由 ， 从 而 无 法 
访问 这 个 目的 网 段 。 另 外 ，R3 收 到 了 R4 发 布 的 BGP 路 由 后 ， 也 不 能 将 其 通告 给 R2 或 
R5， 同 理 ，R3 收 到 了 RS 发 布 的 BGP 路 由 后 ， 也 不 能 将 其 通告 给 R2 或 R4， 当 然 ，R1 
也 无 法 学 习 到 R4 及 R5 发 布 的 路 由 。 

解决 这 个 问题 的 一 个 简单 的 方法 是 在 AS 2345 内 实现 IBGP 对 等 体 关系 的 全 互联 。 
本 例 中 ， 需 在 R2 及 R4、R2 及 R5 之 间 增 加 IBGP 对 等 体 关 系 ， 如 此 一 来 路 由 的 传递 问 
题 即 可 解决 。 

IBGP 对 等 体 关 系 的 全 互联 模型 在 某 些 场景 下 确实 可 行 ， 但 是 当 AS 内 BGP 路 由 器 
数量 较 多 时 , 者 每 台 路 由 喜 需 要 与 AS 内 的 其 他 所 有 BGP 路 由 器 建立 IBGP 对 等 体 关 系 ， 
那么 必然 会 加 重 设备 的 负担 ， 同 时 降低 了 网 络 的 可 扩展 性 。 值 得 庆 季 的 是 ，BGP 有 两 个 
解决 方案 能 够 应 对 这 个 问题 ， 它 们 是 路 由 反射 器 以 及 联邦 。 
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AS 100 


市 篇 位 dDgI 


Ri 


1.0.0.0/8 


BGP 路 由 更 新 
(1.0.0.0/8 路 由 ) ,AS 2345 
图 7-45 AS 2345 内 并 未 实现 IBGP 对 等 体 全 互联 ， 由 于 IBGP 水 平分 割 
规则 的 存在 ， 该 AS 内 的 路 由 传递 将 会 出 现 问 题 
学 习 完 本 节 之 后 ， 我 们 应 该 能 够 。 
e 理解 路 由 反射 需 的 概念 及 应 用 场景 ; 
e 理解 路 由 反射 的 规则 及 工作 机 人 制 |; 
e 理解 路 由 反射 右 的 防 环 机 制 |; 
。 和 车 握 路 由 反射 噩 的 基本 配置 。 


7.4.1 路 由 反射 器 的 基本 概念 


路 由 反射 器 (Route Reflector，RR) 是 一 种 用 于 解决 AS 内 部 BGP 路 由 传递 问题 的 
技术 ， 在 一 些 大 型 的 BGP 组 网 中 常 被 应 用 。 在 本 节 开 始 时 引入 的 案例 中 ， 如 果 AS 2345 
内 不 部 署 全 互联 的 IJBGP 对 等 体 关 系 ， 但 是 又 要 求 路 由 传递 不 能 出 现 问题 ， 那 么 可 使 用 
路 由 反射 器 这 个 解决 方案 。 如 图 7-46 所 示 ，R3 被 指定 为 路 由 反射 占 ， 而 R2、R4 及 R5 
被 指定 为 它 的 客户 (Client)， 如 此 一 来 ，R3 便 会 将 自己 学 习 到 的 IBGP 路 由 在 遵循 一 定 
规则 的 情况 下 进行 “反射 ”。 

以 R1 发 布 的 BGP 路 由 为 例 , R2 收 到 该 路 由 之 后 目 然 是 可 以 直接 将 其 通告 给 R3 的 ， 
R3 收 到 客户 R2 发 送 过 来 的 路 由 后 ， 将 其 反射 给 R4 及 R5， 您 可 以 将 R3 想象 成 一 面 镜 
子 , 现在 有 一 束 光 从 R2 照射 了 过 来 ,这 束 光 被 R3 反射 给 了 R4 及 RS， 这 就 是 路 由 反射 
技术 。R4 及 R5 发 布 的 BGP 路 由 被 通告 给 R3 后 ， 后 者 也 会 将 这 些 路 由 进行 反射 。 因 此 
在 AS 2345 内 部 署 了 路 由 反射 器 后 ， 该 AS 内 的 IBGP 路 由 传递 问题 将 迎刃而解 ， 而 且 
AS 内 的 路 由 器 并 未 实现 IBGP 对 等 体 的 全 互联 ， 设 备 的 处 理 资源 得 到 了 节约 ， 如 果 AS 
内 需 新 增 BGP 路 由 器 , 那么 该 网 络 的 配置 也 仅 需 做 一 点 简单 的 变更 ,因此 网 络 的 可 扩展 
性 变 得 非常 高 。 

BGP 路 由 反射 器 技术 在 RFC4456 (BGP Route Reflection: An Alternative to Full Mesh 
Internal BGP) 中 定义 。 

我 们 将 路 由 反射 器 以 及 它 的 客户 所 构成 的 系统 称 为 路 由 反射 徐 (Cluster), 在 图 7-46 
所 示 的 网 络 中 ， 路 由 反射 器 R3 与 其 客户 R2、R4 及 R5 就 构成 了 一 个 路 由 反射 艇 。 路 由 
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反射 伏 与 所 有 的 客户 建立 IBGP 对 等 体 关 系 ， 而 客户 之 间 则 无 需 建 立 IBGP 对 等 体 关 系 ， 
这 优化 了 网 络 中 的 IBGP 对 等 体 关系 数量 。 实 际 上 ， 路 由 反射 器 的 配置 是 在 充当 反射 器 
的 BGP 路 由 器 上 完成 的 , 而 路 由 反射 右 的 客户 设备 并 不 需要 做 任何 额外 的 配置 , 它 甚 至 
并 不 知道 和 目 己 成 为 了 某 个 路 由 反射 锅 的 客户 〈 客 户 设备 也 无 需 文 持 路 由 反射 器 功能 )。 
此 ， 路 由 反射 问 的 配置 是 非常 简单 的 ， 这 一 解决 方案 的 引入 ， 使 得 一 个 AS 内 BGP 网 络 
的 部 普 变 得 更 加 简单， 而 且 层 次 化 路 由 反射 复 的 设计 思维 使 得 更 大 规模 的 AS 内 部 BGP 
组 网 成 为 可 能 。 
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图 7-46 在 AS 2345 中 部 署 路 由 反射 器 


值得 注意 的 是 ， 路 由 反射 器 并 不 是 在 任何 场景 下 者 会 将 BGP 路 由 进行 反射 的 ,否则 
IBGP 路 由 的 传递 将 变 得 混乱 不 堪 。 路 由 反射 器 只 在 以 下 几 种 场景 下 才 会 反射 BGP 路 由 。 

。 如 果 路 由 反射 器 从 目 己 的 非 客 户 对 等 体 学 习 到 一 条 IBGP 路 由 ， 则 它 会 将 该 路 由 
反射 给 所 有 客户 

如 图 7-47 所 示 ， 我 们 将 R3 配置 为 路 由 反射 句 ， 而 且 将 R4 及 R5 指定 为 其 客户 〈R2 
并 不 是 它 的 客户 )。 现 在 当 R3 从 IBGP 对 等 体 R2《〈 非 客户 ) 收 到 一 条 BGP 路 由 时 ， 它 
将 会 把 这 条 IBGP 路 由 反射 给 客户 R4 及 RS。 当然 ， 如 果 此 时 R3 还 有 一 个 非 客户 IBGP 
对 等 体 R6 (在 图 中 并 未 画 出 )， 那 么 这 条 路 由 是 绝对 不 会 被 反射 给 R6 的 。 

。 如 果 路 由 反射 器 从 自己 的 客户 学 习 到 一 条 IBGP 路 由 ， 则 它 会 将 该 路 由 反射 给 所 
有 非 客 万 ， 以 及 除了 该 客户 之 外 的 其 他 所 有 客户 

如 图 7-48 所 示 ， 路 由 反射 器 R3 从 客户 R4 学 习 到 了 一 条 IBGP 路 由 , 则 它 会 将 这 条 
路 由 反射 给 客户 R5， 以 及 非 客户 R2。 华 为 的 路 由 喜 文 持 关 闭路 由 在 客户 之 间 的 反射 行 
为 ， 如 果 在 R3 上 将 这 个 行为 关闭 (在 BGP 配置 视图 下 执行 undo reflect between-clients 
命令 )， 那 么 当 它 从 客户 学 习 到 IBGP 路 由 时 ， 它 只 会 把 路 由 反射 给 非 客 户 ， 而 不 会 反射 
给 其 他 客户 。 
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图 7-47 路 由 反射 器 R3 将 通告 自 非 客户 R2 的 BGP 路 由 反射 给 客户 R4 和 R5 
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图 7-48 路 由 反射 器 R3 将 通告 自 客户 R4 的 BGP 路 由 反射 给 客户 R5 和 非 客 户 R2 
。 当 路 由 反射 器 执行 路 由 反射 时 ， 它 只 将 自己 使 用 的 、 最 优 的 BGP 路 由 进行 反射 
7.4.2 ”路 由 反射 器 环境 下 的 路 由 防 环 


7.4.1 节 中 已 经 介绍 过 了 路 由 反射 器 的 几 种 行为 ， 实 际 上 路 由 反射 右 对 IBGP 路 由 的 
操作 是 突破 了 水 平分 割 规则 的 ， 而 IBGP 路 由 又 依赖 水 平分 割 规则 来 实现 无 环 化 ， 那 么 
这 里 就 存在 一 个 问题 ， 即 如 何在 部 团 了 路 由 反射 器 的 场景 下 杜绝 IBGP 路 由 环 路 ? BGP 
设计 了 两 个 路 径 属 性 , 它们 是 Originator ID 和 Cluster List， 这 两 个 属性 只 在 部 署 了 路 由 
反射 器 的 环境 中 被 使 用 ， 都 是 可 选 非 传递 属性 ， 借 助 它 们 ，BGP 能 够 在 路 由 反射 器 的 环 
境 中 实现 路 由 防 环 。 

1. Originator ID 属性 

Originator ID 是 一 个 可 选 非 传递 属性 ， 该 属性 的 长 度 为 32bit， 其 格式 与 IPv4 地 址 
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的 格式 相同 。 当 一 条 BGP 路 由 被 路 由 反射 器 反射 给 其 他 路 由 器 时 ， 如 果 该 条 路 由 已 经 携 
带 了 Originator ID 属性 ， 则 保留 该 属性 ， 否 则 路 由 反射 句 为 这 条 路 由 添加 Originator ID 
属性 ， 并 将 属性 值 设置 为 该 路 由 在 本 地 AS 内 的 始 发 路 由 器 的 Router-ID 。 当 路 由 器 从 
BGP 对 等 体 收 到 一 条 IBGP 路 由 ， 并 且 该 路 由 所 携带 的 Originator ID 属性 值 与 自己 的 
BGP Router-ID 相同 时 , 它 意识 到 从 上 自己 这 里 始 发 的 路 由 又 被 通告 回来 了 , 它 将 忽略 这 条 
路 由 的 更 新 。 

如 图 7-49 所 示 ，R3 被 配置 为 路 由 反射 器 ，R1 是 它 的 客户 。 另 外 ，R2 也 被 配置 为 
路 由 反射 器 ， 而 R3 是 它 的 客户 ， 也 就 是 说 ， 在 AS 123 中 存在 两 个 路 由 反射 徐 ， 它 们 之 
间 存 在 一 种 类 似 杠 套 的 关系 。 现 在 一 条 BGP 路 由 10.1.0.0/16 从 Rl 始 发 ， 被 通告 给 了 
R3。R3 将 这 条 来 自 客户 的 BGP 路 由 反射 给 非 客 户 R2。 由 于 该 路 由 此 前 并 不 携 市 
Originator ID 属性 ， 因 此 R3 将 路 由 反射 的 同时 为 其 添加 该 属性 ， 并 将 属性 值 设置 为 R1 
的 Router-ID 1.1.1.1 (实际 上 R3 还 为 路 由 创建 了 Cluster List 属性 , 该 属性 将 在 下 文 讨 论 )。 
当 R2 从 自己 的 客户 R3 收 到 BGP 路 由 10.1.0.0/16 后 , 将 路 由 反射 给 非 客 户 R1， 在 反射 
路 由 时 保持 该 路 由 中 的 Originator ID 属性 。 而 当 R1 从 R2 收 到 关于 10.1.0.0/16 路 由 的 
通告 时 ,发现 该 条 路 由 携带 了 Originator ID 属性 ， 并 且 属 性 值 与 目 己 的 Router-ID 相同 ， 
它 将 忽略 这 个 路 由 更 新 。 如 此 一 来 ， 路 由 环 路 隐患 即 可 被 规避 。 
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图 7-49 ”Originator ID 属性 的 作用 


2. Cluster List 属性 

Cluster List 是 一 个 可 选 非 传递 属性 ， 该 属性 的 值 是 可 变 长 的 ， 它 可 以 包含 一 个 或 者 
多 个 Cluster-ID 〈 路 由 反射 徐 标 识 符 )。 大 家 已 经 知道 ， 路 由 反射 器 与 其 客户 在 一 起 构成 
了 一 个 路 由 反射 秘 ， 在 一 个 AS 内 是 可 以 存在 多 个 路 由 反射 簇 的 ， 每 个 徐 都 拥有 目 己 的 
Cluster-ID。 所 谓 的 Cluster-ID 是 一 个 可 配置 的 、32bit 的 数值 ， 缺 省 时 为 路 由 反射 器 的 
BGP Router-ID 。 当 一 条 BGP 路 由 被 路 由 反射 右 执 行 反射 时 ， 如 末 该 条 路 由 己 经 存在 
Cluster List 属性 , 那么 路 由 反射 器 将 本 地 的 Cluster-ID 附加 到 路 由 的 Cluster List 属性 值 
之 前 , 而 如 果 该 条 路 由 并 不 存在 Cluster List 属性 , 那么 路 由 反射 器 为 它 创 建 Cluster List 
属性 并 将 本 地 的 Cluster-ID 插入 Cluster List 属性 值 中 。 当 一 合 路 由 反射 吉 收 到 一 条 BGP 
路 由 后 ， 若 发 现 该 条 路 由 携带 Cluster List 属性 ， 并 且 Cluster List 属性 值 中 包含 者 目 己 
的 Cluster-ID 时 ， 它 意识 到 被 目 己 反射 出 去 的 BGP 路 由 又 被 通告 回来 了 ， 此 时 它 将 忽略 
关于 这 条 路 由 的 更 新 。 
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在 图 7-50 所 示 的 场景 中 ， 我 们 配置 了 三 台 路 由 反射 器 ， 它 们 分 别 是 R1、R3 及 R2， 
其 中 R4 是 Rl1 的 客户 ，R1 是 R3 的 客户 ， 而 R3 是 R2 的 客户。 现在 R4 将 BGP 路 由 
10.1.0.0/16 通告 给 R1，R1 则 将 这 条 来 目 客户 的 路 由 反射 给 非 客 户 R3， 同 时 为 被 反射 的 
路 由 创建 Originator ID 属性 ， 其 值 为 R4 的 Router-ID 4.4.4.4， 另 外 也 创建 Cluster List 
属性 ， 其 值 为 1.1.1.1。 当 R3 收 到 这 条 路 由 时 ， 它 会 把 路 由 反射 给 R2， 同 时 在 路 由 的 
Cluster List 属性 值 的 前 面 插入 目 己 的 Cluster-ID 3.3.3.3。 当 R2 收 到 这 条 路 由 时 ， 它 将 路 
由 反射 给 R1， 同 时 在 路 由 的 Cluster List 属性 值 的 前 面 插入 目 己 的 Cluster-ID 2.2.2.2。 因 
此 最 终 R1 将 从 R2 收 到 关于 10.1.0.0/16 路 由 的 通告 ， 而 且 该 路 由 携带 的 Cluster List 属 
性 值 为 “2.2.2.2，3.3.3.3，1.1.1.1”，R1 在 其 中 看 到 了 自己 的 Cluster-ID， 它 将 忽略 这 条 
路 由 ， a 路 。 
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图 7 7-50 Cluster List 属 性 的 作用 


值得 强调 的 是 ， 当 路 由 反射 占 将 一 条 从 自己 的 EBGP 对 等 体 学 习 到 的 BGP 路 由 通 
告 给 客户 路 由 器 时 ， 它 是 不 会 为 路 由 创建 Originator ID 或 Cluster List 属性 的 ， 因 为 这 
本 质 上 并 不 是 一 个 路 由 反射 的 行为 ， 而 是 一 个 正 第 的 路 由 通告 行为 。 另 外 ， 当 一 条 携 市 
者 Originator ID 及 Cluster List 属性 的 BGP 路 由 被 通告 给 路 由 器 的 EBGP 对 等 体 时 ， 这 
条 路 由 的 Originator ID 及 Cluster List 属性 会 被 该 路 由 器 移 除 。 

当 路 由 反射 句 执 行路 由 反射 时 , 除了 可 能 会 为 路 由 附加 Originator 让 ) 及 Cluster List 
属性 ， 或 修改 Cluster List 属性 之 外 ， 对 于 其 他 路 径 属性 缺 省 不 做 修改 ， 例 如 Local _ 
Preference、AS Path、MED、Next Hop 等 。 


7.4.3 案例: 路 由 反射 器 的 基础 配置 


在 图 7-51 中 ，AS 2345 内 已 经 运行 了 OSPF, 该 AS ee 忆 置 了 Loopback0 
接口 并 为 其 分 配 x.x.x.x/32 的 IP 地 址 (其 中 x 为 设备 编号 )， 它 们 都 将 上 自己 Loopback0 
接口 的 路 由 发 布 到 了 OSPF 中 。 现 在 ， 我 们 把 R3 配置 为 路 由 反射 器 ， 并 将 R2、R4 及 
R5 配置 为 其 客户 。AS 2345 内 的 IBGP 对 等 体 关 系 如 图 所 示 ， 这 些 IBGP 对 等 体 关 系 基 
于 设备 的 Loopback0 接口 建立 。 

R3 的 配置 如 下 : 


[R3]bgp 2345 
[R3-bgplrouter-id 3.3.3.3 
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[R3-bgpjpeer 2.2.2.2 as-number 2345 #2.2.2.2 是 R2 的 地 址 
[R3-bgp]peer 2.2.2.2 connect-interface LoopBack0 
[R3-bgp]peer 2.2.2.2 reflect-client 

[R3-bgp]peer 4.4.4.4 as-number 2345 #4.4.4.4 是 R4 的 地 址 
[R3-bgpjpeer 4.4.4.4 connect-interface LoopBack0 全 

[R3-bgp]peer 4.4.4.4 reflect-client 
[R3-bgplpeer 5.5.5.5 as-number 2345 #5.5.5.5 是 Rs 的 地 址 
[R3-bgplpeer 5.5.5.5 connect-interface LoopBack0 

[R3-beplpeer $.5.5.5 reflect-client 
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图 7-51 路 由 反射 器 的 基础 配置 


在 上 面 给 出 的 配置 中 ，peer 2.2.2.2 reflect-client 命令 用 于 将 R3 配置 为 路 由 反射 右 ， 
并 且 将 R2 配置 为 其 客户 。 因 此 ， 路 由 反射 器 的 配置 上 只 需 在 反射 器 上 完成 ， 人 至 于 客户 路 
由 堆 是 无 需 任 何 额外 配置 的 。 

R2 的 配置 如 下 : 


[R2]bgp 2345 

[R2-bgp]router-id 2.2.2.2 

[R2-bgpjpeer 3.3.3.3 as-number 2345 #3.3.3.3 是 R3 的 地 址 

[R2-bgpjpeer 3.3.3.3 connect-interface LoopBack0 

[R2-bgpjpeer 3.3.3.3 next-hop-local 

[R2-bgp]peer 10.1.12.1 as-number 100 

其 他 路 由 咒 的 配置 不 再 惕 述 。 现 在 ，R1 在 BGP 中 发 布 11.1.0.0/16 路 由 ， 而 R5 在 
BGP 中 发 布 55.5.0.0/16 路 由 。 


完成 上 述 配置 后 ， 检 查 一 下 R4 的 BGP 表 : 


<R4>display bgp routing-table 


BGP Local router ID is 4.4.4.4 

Status codes: * - valid, > - best, d - damped, 
h - history, i-internal, s - suppressed,S - Stale 
Origin : i- IGP, e - EGP, ? - incomplete 
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Total Number of Routes: 2 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*>] 11.1.0.0/16 2.2.2.2 0 100 0 100i 
*>1 $5.5.0.0/16 $5.3:3.3 0 100 0 i 


从 上 述 输出 可 以 看 到 ，R4 已 经 学 习 到 了 BGP 路 由 11.1.0.0/16 及 55.5.0.0/116。 由 于 
R3 已 经 是 一 台 路 由 反射 占 ， 因 此 它 会 将 学 习 目 R2 及 R5 的 路 由 进行 反射 。 

在 R4 上 使 用 display bgp routing-table 11.1.0.0 命令 可 以 查看 BGP 路 由 的 详细 
信息 : 


<R4>display bgp routing-table 11.1.0.0 


BGP local router ID : 4.4.4.4 

Local AS number : 2345 

Paths: 1 available, ] best, 1 select 

BGP routing table entry information of 11.1.0.0/16: 
From: 3.3.3.3 (3.3.3.3) 

Route Duration: O00hOlm43s 

Relay IP Nexthop: 10.1.34.3 

Relay IP Out-Interface: GigabitEthernet0/0/0 
Original nexthop: 2.2.2.2 

Qos information : Ox0 

AS-path 100, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, best select, active, pre 255, IGP cost 2 
Originator: 2.2.2.2 

Cluster list: 3.3.3.3 

Not advertised to any peer yet 


从 上 述 输出 可 以 看 到 R3 在 将 11.1.0.0/16 路 由 反射 给 R4 时 ， 添加 了 Originator ID 
及 Cluster_List 属性， 并 且 这 两 个 属性 的 值 分 别 为 2.2.2.2 和 3.3.3.3。 其 中 2.2.2.2 是 该 条 
BGP 路 由 在 本 AS 内 的 始 发 路 由 器 R2 的 Router-ID, 而 3.3.3.3 为 路 由 反射 簇 的 Cluster-ID， 
缺 省 时 Cluster-ID 为 路 由 反射 器 R3 的 Router-ID 3.3.3.3 (可 在 R3 的 BGP 配置 视图 下 使 
用 reflector cluster-id 命令 修改 )。 

另外 ，R2 也 将 学 习 到 R3 反射 给 自己 的 55.5.0.0/16 路 由 ， 当 R3 反射 该 路 由 时 ， 同 
样 会 在 路 由 中 增加 Originator ID 及 Cluster List 属性 : 


<R2>dispjay bgp routing-table 55.5.0.0 


BGP local router ID : 2.2.2.2 
Local AS number : 2345 
Paths: 1 available, 1 best, 1 select 
BG?P routing table entry information of $5.5.0.0/16: 
From: 3.3.3:3(3.3.3:3) 
Route Duration: 00h05m07s 
Relay IP Nexthop: 10.1.23.3 
Relay IP Out-Interface: GigabitEthernet0/0/1 
Origirial nexthop: 5.5.5.5 
Qos information : 0x0 
AS-path Nil, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, best, select, active, pre 255, IGP cost 2 
Originator: S$.5.5,5 
Cluster list: 3.3.3.3 
Advertised to such 1 peers: 
10.1.12.1 
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但 是 ， 当 R2 将 该 路 由 通告 给 EBGP 对 导体 R1 时 ， 它 会 将 这 两 个 路 径 属 性 删除 : 


<R1>display bgp routing-table 55.5.0.0 


BGP local router ID : 1.1.1.1 

Local AS number : 100 

Paths: 1 available, 1 besb 1 select 

BGP routing table entry information of 55.5.0.0/16: 
From: 10.1.12.2 (2.2.2.2) 

Route Duration: 00h05m28s 

Direct Out-interface: GigabitEthernet0/0/0 
Original nexthop: 10.1.12.2 

Qos information : 0x0 | 

AS-path 2345, origin igp, pref-val 0, valid, external, best, select, active, pre 255 
Not advertised to any peer yet 


7.5 联邦 


在 一 个 AS 内 部 署 全 互联 的 IBGP 对 等 体 关系 确实 可 以 很 好 地 解决 IBGP 路 由 传递 的 
问题 ， 但 这 是 一 个 低 扩 展 性 的 做 法 ， 在 大 型 的 网 络 中 会 给 设备 带 来 沉重 的 负担 。 在 前 面 
的 章节 中 大 家 已 经 掌握 了 使 用 路 由 反射 器 解决 这 个 问题 的 方法 ， 接 下 来 我 们 将 为 大 家 讲 
解 男 一 个 解决 方案 ， 它 就 是 联邦 。 联 邦 (Confederation) 也 被 称 为 联盟 ， 大 致 的 思想 是 
在 一 个 大 的 AS 内 创建 若干 个 小 的 AS (类似 子 AS 的 概念 ), 使 得 AS 内 部 出 现 一 种 特殊 
的 EBGP 对 等 体 关 系 ， 从 而 解决 IJBGP 路 由 在 AS 内 的 传递 问题 。BGP 联邦 在 RFC5065 
(Autonomous System Confederations for BGP) 中 定义 。 

学 习 完 本 布 之 后 ， 我 们 应 该 能 够 。 

。 理解 联邦 的 基本 概念 ; 

。 理解 联邦 的 环境 下 BGP 路 由 传播 的 过 程 中 AS_Path 属性 的 变化 ; 

。 学 握 联 邦 的 基础 配置 。 


7.5.1 ”联邦 的 基本 概念 


在 图 7-52 中 ，AS 3456 内 并 没有 实现 I[BGP 对 等 体 全 互联 ， 这 将 导致 该 AS 内 的 路 
由 传递 出 现 问 题 ， 这 里 可 以 随便 举 几 个 例子 : 

。 R3 会 将 自己 从 R1 学 习 到 的 BGP 路 由 通告 给 R4， 但 是 后 者 不 能 将 该 路 由 通告 给 
R5， 因 此 R2、R5 及 R6 都 无 法 学 习 到 该 路 由 。 

e R3 发 布 的 BGP 路 由 会 被 其 通告 给 R1 及 R4， 但 是 R4 不 能 将 该 路 由 通告 给 RS， 
因此 R2、R5 及 R6 都 无 法 学 习 到 该 路 由 。 

e R4 发 布 的 BGP 路 由 会 被 其 通告 给 R3 及 R5， 但 是 Rs 不 能 将 该 路 由 通告 给 R6， 
因此 R6 无 法 学 习 到 该 路 由 。 


利用 BGP 联邦 即 可 解决 上 述 问题 。 如 图 7-53 所 示 ， 我 们 在 AS 3456 内 创建 了 两 个 
“小 AS” 一 一 AS 64512 及 AS 64513， 这 就 有 点 像 一 个 大 的 城市 被 划分 成 了 两 个 行政 区 。 


此 时 AS 3456 被 称 为 联邦 AS (Confederation AS)，3456 是 该 联邦 的 AS 号 ， 而 AS 64512 
及 AS 64513 被 称 为 成 员 AS (Member AS)。 如 此 一 来 ，R3 与 R4 之 间 、R5 与 R6 之 间 依 
然 保持 IBGP 对 等 体 关 系 ， 而 R4 与 R5 之 间 的 关系 则 变 成 联邦 EBGP 对 等 体 关 系 。 联 邦 
EBGP 对 等 体 关 系 与 传统 的 EBGP 对 等 体 关 系 有 许多 相似 的 地 方 ， 例 如 IBGP 水 平分 割 规 
则 在 这 里 不 再 起 作用 。 当 R4 从 IBGP 对 等 体 R3 学 习 到 BGP 路 由 时 ， 它 可 以 将 路 由 通告 给 
其 联邦 EBGP 对 等 体 R5 一 一 与 传统 的 EBGP 路 由 通告 相似 ， 而 Rs 从 R4 学 习 到 的 BGP 路 
由 ， 当 然 也 就 能 被 通告 给 EBGP 对 等 体 R2 以 及 IBGP 对 等 体 R6。 因 此 ， 通 过 在 AS 3456 
内 部 署 联邦 , 即 可 在 该 AS 内 没有 实现 BGP 对 等 体 全 互联 的 情况 下 , 解决 路 由 传递 的 问题 。 
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联邦 AS 3456 
图 7-53 AS 3456 被 设计 为 联邦 AS， 并 且 和 在 该 AS 内 创建 两 个 联邦 成 员 AS 


值得 注意 的 是 ， 若 在 AS 3456 内 部 晋 联邦 ，R3、R4、R5s 及 R6 创建 BGP 进程 时 所 
使 用 的 AS 号 是 其 所 属 的 成 员 AS 号 ， 而 R3 及 R5 作为 联邦 AS 的 边界 路 由 器 ， 需 与 联 
邦 AS 之 外 的 其 他 AS 建立 EBGP 对 等 体 关 系 ， 它 们 需 使 用 联邦 AS 号 与 EBGP 对 等 体 
R1 及 R2 对 接 。 而 对 于 联邦 AS 外 部 的 网 络 而 言 ， 例 如 AS 100 及 AS 200， 它 们 并 不 知 
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晓 成 员 AS 一 一 AS 64512 及 AS 64513 的 存在 ， 也 就 是 说 联邦 AS 内 部 的 成 员 AS 对 于 联 
邦 外 部 并 不 可 见 。 


7.5.2 AS_Path 属性 在 联邦 AS 中 的 处 理 


值得 注意 的 是 ， 当 BGP 路 由 在 联邦 内 传递 时 ， 联 邦 成 员 AS 号 才 会 出 现在 AS_Path 
属性 中 ， 当 路 由 传 出 联邦 AS 时 ， 成 员 AS 号 将 被 移 除 。 因 此 联邦 AS 的 外 部 是 不 知道 联 
邦 内 成 员 AS 的 存在 的 。 

我 们 已 经 知道 ， 一 条 BGP 路 由 的 AS Path 属性 值 〈 如 果 为 非 空 ) 是 由 一 种 或 者 多 
种 AS_Path 片段 组 成 的 ， 一 条 路 由 的 AS Path 属性 中 可 能 只 存在 一 种 AS Path 片段 ， 也 
可 能 同时 存在 多 种 。BGP 设计 了 4 种 AS_Path 片段 类 型 ， 它 们 分 别 是 : 

e AS Sequence 

e AS Set 

e AS Confed Sequence 

e AS Confed Set 

天 于 AS Sequence 及 AS _ Set 我们 在 前 面 的 章节 中 已 经 介绍 过 了 。 联 邦 使 用 了 后 面 
两 种 AS_Path 片段 类 型 ， 也 就 是 AS_ Confed Sequence 及 AS Confed Set, 这 两 种 片段 类 
型 分 别 与 前 面 两 种 类 似 ， 只 不 过 它们 只 被 用 于 联邦 。 当 路 由 在 联邦 EBGP 对 等 体 之 间 传 
递 时 ， 成 员 AS 号 被 写 入 这 些 特 殊 类 型 的 AS Path 片段 中 。 而 当 路 由 被 传 出 联邦 时 ， 成 
员 AS 号 应 该 被 移 除 ， 此 时 这 两 种 片段 类 型 将 被 设备 从 AS_Path 属性 中 移 除 。 

在 图 7-54 中 ，R1 向 BGP 发 布 了 10.10.0.0/16 路 由 ， 它 将 路 由 通告 给 了 EBGP 对 等 
体 R3， 此 时 路 由 的 AS_Path 属性 值 为 100 (该 AS_Path 属性 只 包含 一 个 AS Path 片段 ， 
其 类 型 为 AS_Sequence， 该 片段 中 只 包含 100 这 个 AS 号 )。 接 下 来 R3 将 这 条 BGP 路 由 
通告 给 [BGP 对 等 体 R4， 此 时 路 由 的 AS_Path 属性 值 当然 是 不 会 发 生 改 变 的 。 而 当 R4 
将 这 条 路 由 通告 给 联邦 EBGP 对 等 体 R5 时 ， 它 将 在 路 由 原 有 AS_Path 属性 的 基础 上 ， 
增加 一 个 AS_Confed_Sequence 类 型 的 片段 ， 专 门 用 于 存储 联邦 成 员 AS 号 ，R4 将 自己 
所 处 的 成 员 AS 号 64512 写 入 其 中 ， 并 将 路 由 通告 给 R5， 此 时 该 条 路 由 的 AS_Path 属性 
值 为 “(64512) 100”， 该 AS_Path 属性 包含 两 种 类 型 的 AS_Path 片段 。 当 R5 将 该 路 由 
通告 给 R6 时 ， 它 在 AS_Confed_Sequence 类 型 的 片段 中 附加 本 地 AS 号 64513，R6 收 到 
该 路 由 时 , 路 由 的 AS Path 为 “(64513 64512)100” 而 当 RS 将 这 条 BGP 路 由 通告 给 EBGP 
对 等 体 R2 时 , 它 将 路 由 的 AS_Path 属性 中 专门 用 于 联邦 的 AS_Confed_ Sequence 片段 移 
除 ， 并 在 剩 下 的 AS_Sequence 片段 中 附加 联邦 AS 号 3456。 

R6 的 BGP 路 由 表 如 下 : 

<R6>display bgp routing-table 

BGP Local Se ID 1S .6.6.6.6 

Status codes: * - valid, > - best d - damped, 


hb - history, i- internal, s - Suppressed, S - Stale 
Origin : 1- IGP, e-EGP ? - incomplete 


Total Number of Routes: 1 
Network NextHop MED LocPrf PrefVal Path/Ogn 


346 HCNP 路 由 交换 学 习 指南 


*>i 10.10.0.0/16 Se 0 \ 100 0 (64513 64512) 100i 
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图 7-54 AS Path 属性 在 联邦 AS 内 的 传递 


在 华为 数 通 产 品 上 ， 为 了 将 AS Confed Sequence 的 片段 区 分 开 来 ， 设 备 使 用 一 对 
小 括号 宫 括 该 类 型 的 片段 。 


7.5.3 ”案例 : 联邦 的 基础 配置 


在 图 7-55 中 ，AS 3456 内 已 经 运行 了 OSPF, 该 AS 内 的 路 由 器 都 配置 了 Loopback0 
接口 并 为 其 分 配 x.x.x.x/32 的 IP 地 址 (其 中 x 为 设备 编号 )， 它 们 都 将 自己 Loopback0 
接口 的 路 由 发 布 到 了 OSPF 中 。 我 们 将 AS 3456 规划 为 联邦 AS 并 在 其 中 创建 两 个 联邦 
成 员 AS， 分 别 是 AS 64512 及 AS 64513。 联 邦 AS 3456 内 的 BGP 对 等 体 关 系 都 基于 
Loopback0 接口 建立 。R1 及 R3、R2 及 R5 的 EBGP 对 等 体 关 系 基于 直 连 接口 建立 。 
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图 7-55 ”联邦 的 基础 配置 
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R3 的 配置 如 下 : 
[R3]bgp 64512 #R3 创建 BGP 进程 时 使 用 的 AS 号 是 联邦 成 员 AS 号 
[R3-bgpjrouter-id 3.3.3.3 


[R3-bgp]confederation id 3456 # 了 配置 联邦 AS 号 
[R3-bgp]peer 10.1.13.1 as-number 100 Un 

- [R3-bgpjpeer 4.4.4.4 as-number 64512 
[R3-bgplpeer 4.4.4.4 connect-interface loopback0 
[R3-bgp]peer 4.4.4.4 next-hop-local 


在 以 上 配置 中 , R3 创建 了 BGP 进程 并 且 配 置 了 AS 号 , 值得 注意 的 是 , R3 创建 BGP 
进程 时 所 指定 的 AS 号 为 成 员 AS 号 ， 而 并 非 联邦 AS 号 。 在 创建 BGP 进程 并 进入 BGP 
配置 视图 后 ，confederation id 3456 命令 用 于 指定 设备 所 处 联邦 的 AS 号 。 接 下 来 R3 指 
定 了 EBGP 对 等 体 R1 以 及 IBGP 对 等 体 R4。 






“关于 OSPF 的 配置 ， 此 处 不 做 罗列 。 
R4 的 配置 如 下 : 


[R4]bgp 64512 

[R4-bgplrouter-id 4.4.4.4 

[R4-bgplconfederation id 3456 

[R4-bgp]confederation peer-as 64513 # 指 定 同属 一 个 联邦 的 相 邻 成 员 AS 

[R4-bgpjpeer 3.3.3.3 as-number 64512 

[R4-bgp]peer 3.3.3.3 connect-interface loopback0 

[R4-bgplpeer 5.5.5.5 as-number 64513 

[R4-bgp]peer 5.5,5.5 connect-interface loopback0 

[R4-bgplpeer $5.5.5.5 ebgp-max-hop 2 

在 以 上 配置 中 ，R4 除了 使 用 confederation id 命令 指定 了 联邦 AS 号 ， 还 需 使 用 
confederation peer-as 命令 指定 同属 一 个 联邦 的 相 邻 成 员 AS (64513)， 这 条 命令 非常 重 
要 ， 因 为 R4 连接 痢 成 员 AS 64513， 如 采 不 使 用 该 命令 明确 相 邻 的 联邦 成 员 AS， 则 R4 
将 使 用 联邦 AS 号 3456 与 R5 建立 EBGP 对 等 体 关 系 ， 这 束 会 引发 问题 。 为 外 ， 由 于 R4 
与 R5 之 间 建 立 的 是 联邦 的 EBGP 对 等 体 关 系 , 因此 如 果 双 方 基于 Loopback 接口 建立 对 
等 体 关 系 ， 就 会 过 到 非 直 连 对 等 体 之 间 建 立 EBGP 连接 的 问题 ， 所 以 需 使 用 peer 
ebgp-max-hop 命令 允许 BGP 与 非 直 连 网 络 上 的 对 等 体 建立 EBGP 连接 。 

RS 的 配置 如 下 : 

[RS]bgp 64513 

[RS-bgplrouter-id 5.5.5.5 

[R5-bgplconfederation id 3456 

[RS-bgplconfederation peer-as 64512 

[RS5-bgp]peer 4.4.4.4 as-number 64512 

[RS-bgp]peer 4.4.4.4 connect-interface loopback0 

[R5-bgp]peer 4.4.4.4 ebgp-max-hop 2 

[Rs-bgpjpeer 4.4.4.4 next-hop-local 

[R5-bgplpeer 6.6.6.6 as-number 64513 

[RS-bgpjpeer 6.6.6,6 connect-interface loopback0 

[RS-bgp]peer 6.6.6.6 next-hop-local 

[RS5-begplpeer 10.1.25.2 as-number 200 


R6 的 配置 如 下 : 
[R6]bgp 64513 
[R6-bgpjrouter-id 6.6.6.6 
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[R6-bgplconfederation id 3456 
[R6-bgpjpeer 5.5.5.5 as-number 64513 
[R6-bgplpeer 5.5.5.5 connect-interface loopback0 


R1 的 配置 如 下 : 


[Rllbgp 100 
[Rl-bgplrouter-id 1.1.1.1 
[Rl-bgplpeer 10.1.13.3 as-number 3456 


注意 ，R1 在 配置 EBGP 对 等 体 R3 时 ， 应 该 指定 对 方 的 联邦 AS 号 ， 而 不 是 成 员 AS 
号 。R2 同 理 。 

R2 的 配置 如 下 : 

[R2]Jbgp 200 

[R2-bgpjrouter-id 2.2.2.2 

[R2-bgp]peer 10.1.25.5 as-number 3456 


现在 R1 将 路 由 10.10.0.0/16 发 布 到 BGP (配置 不 再 袭 述 )， 我 们 来 观察 一 下 这 条 路 
由 在 联邦 AS 内 的 传递 情况 。 首 先 看 一 下 R4 的 BGP 表 : 


<R4>display bsgp routing-table 


BGP Local router ID is 4.4.4.4 

Status codes: * - Valid, > - best, d - damped, 
h - history，i -intermal, s - Suppressed, S - Stale 
Origin : i- IGP,e - EGP, ? - incomplete 


Total Number of Routes: 1 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*>i 10.10:0.0/16 3.3.3.3 0 100i 


100 0 
R4 已 经 学 习 到 了 这 条 BGP 路 由 ， 而 且 该 路 由 已 经 被 优选 ， 因 此 它 会 将 这 条 路 由 通 
告 给 目 己 的 联邦 EBGP 对 等 体 R5。 再 看 看 R5 的 BGP 路 由 表 : 


<R5>display bgp routing-table 


BGP Local router ID is 5.5.5.5 

Status codes: * - valid, > - best, d - damped, 
h-= history, i- internal, s - Suppressed, S - Stale 
Origin : i- IGP, e - EGP, ? - incomplete 


Total Number of Routes: 1 ~ 
Network NextHop MED LocPrf PrefVal Path/Ogn 
*>i 10.10.0.0/16 3.3.3.3 0 100 0 (64512) 100i 


R5 已 经 学 习 到 了 R4 通告 的 BGP 路 由 ， 而 且 该 路 由 的 AS_Path 属性 值 为 “(64512) 
100”， 其 实 这 个 AS_Path 属性 包含 着 两 个 不 同类 型 的 片段 ， 一 个 存储 着 联邦 成 员 AS 号 
“64512””， 为 一 个 则 存储 大 AS 号 “100”。 为 了 区 分 AS_Path 属性 值 中 的 这 两 个 片段 ， 在 
上 述 和 输出 中 ， 填 充 痢 联邦 成 员 AS 号 的 片段 被 加 上 了 括号 。 当 这 条 BGP 路 由 被 传 出 联邦 
AS 时 ， 联 邦 成 员 AS 号 将 被 移 除 。R5 学 习 到 该 路 由 后 ， 会 将 其 通告 给 R2 及 R6。 

R2 的 BGP 路 由 表 如 下 : 

<R2>display bgp routing-table 

BGP Local router ID 1s 2.2.2.2 

Status codes: * - valid, > - best, d - damped, 


h- history, i-internal, s - suppressed, S - Stale 
Origin ; 1- IGP, e - EGP, ? - incomplete 
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Total Number of Routes: 1 
Network NextHop MED LocPrf PrefVal Path/Ogn 


*> 10.10.0.0/16 10.1.25.5 0 3456 1001 


从 以 上 输出 可 以 看 出 ，R2 已 经 学 习 到 了 10. 10.0.0/16 路 由 ， 而 且 路 由 的 AS Path 属 
性 值 为 “3456 100”。 


7.6 BGP 路 由 优选 规则 


BGP 是 一 个 应 用 非常 广泛 的 边界 网 关 路 由 协议 ， 在 全 球 范 围 内 被 大 量 部 普 。 它 能 
支持 大 规模 的 网 络 ， 能 够 在 各 种 骨干 数据 网 络 中 运载 大 批量 的 路 由 前 级 。BGP 定义 了 多 
种 路 径 属性 ， 并 且 拥 有 丰富 的 路 由 策略 工具 ， 正 是 由 于 这 些 特点 ,使 得 BGP 在 路 由 操控 
和 路 径 决 策 上 变 得 非常 机 动 和 灵活 。 针 对 BGP 路 由 的 各 种 路 径 属 性 的 操作 都 将 可 能 影响 
路 由 的 优选 ， 从 而 对 网 络 的 流量 产生 影响 ， 因 此 掌握 BGP 路 由 的 优选 规则 十 分 重要 。 

当 一 台 路 由 器 学 习 到 多 条 到 达 相 同 目的 网 段 的 BGP 路 由 时 , 它 将 进行 一 个 关于 路 由 
优选 的 决策 ， 在 这 些 路 由 中 选择 出 一 条 最 优 的 路 由 。BGP 只 将 最 优 的 路 由 加 载 到 全 局 路 
由 表 作为 数据 转发 的 依据 (在 不 考虑 路 由 负载 分 担 的 情况 下 ), 而 且 也 只 将 最 优 的 路 由 通 
告 给 其 他 对 等 体 。 如 图 7-56 所 示 ， 路 由 器 A 同时 学 习 到 两 条 到 达 31.25.0.0/16 的 路 由 ， 
它 将 在 这 两 条 路 由 之 间 进 行 比 较 ， 选 择 出 最 优 的 路 由 。 







AS 64512 


六 
“名 AS 64513 


BGP 路 由 31.2S.0.0/16 





BGP 路 由 31.25.0.0/16 


AS Path AS Path 
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Next Hop Next Hop 
fF \L 

YY 


AS gd 
图 7-56 ”路 由 器 A 同时 学 习 到 两 条 到 达 31.25.0.0/16 的 BGP 路 由 ， 
它 将 在 这 两 条 路 由 中 选择 一 条 最 优 的 路 由 
BGP 定义 了 一 整套 详细 的 最 优 路 径 选 择 算法 〈Best Path Selection Algorithm)， 这 使 
得 路 由 器 能 够 在 任何 复杂 的 、 高 元 余 性 的 网 络 环境 下 选择 出 最 优 的 路 径 。 这 套 算 法 也 经 
常 被 称 作 BGP 路 由 优选 规则 ， 或 者 BGP 选 路 原则 。 掌 握 这 些 路 由 优选 规则 是 非常 有 必 
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要 的 。 值 得 注意 的 是 ， 不 同 的 厂商 在 这 套 规则 的 定义 上 是 存在 细微 差异 的 ， 本 书 所 介绍 
的 路 由 优选 规则 基于 华为 的 数 通 产 品 (VRP5.0)。 
当 到 达 同 一 个 目的 网 段 存在 多 条 路 由 时 ，BGP 通过 如 下 的 次 序 进行 路 由 优选 。 


进 加 BGP 路 由 在 参与 优选 之 前 都 必须 先 经 过 检查 。 设 备 会 检查 BGP 路 由 的 
Next Hop 是 否 可 达 (在 路 由 表 中 查询 到 达 该 Next Hop 的 路 由 )， 如 果 不 可 达 ， 则 BGP 
路 由 被 视 为 不 可 用 ， 该 路 由 将 无 论 如 何不 会 被 优选 ， 也 不 会 被 设备 使 用 或 通告 给 其 他 对 
等 体 。 

(1) 优选 Preferred Value 属性 值 最 大 的 路 由 。 

(2) 优选 Local Preference 属性 值 最 大 的 路 由 。 

(3) 本 地 始 发 的 BGP 路 由 优 于 从 其 他 对 等 体 学 习 到 的 路 由 。 其 中 本 地 始 发 的 路 由 类 
型 按 优 先 级 从 高 到 低 的 排列 是 : 通过 手工 汇总 的 方式 发 布 的 路 由 、 通 过 自动 汇总 的 方式 
发 布 的 路 由 、 通 过 network 命令 发 布 的 路 由 以 及 通过 import-route 命令 发 布 的 路 由 。 

(4) 优选 AS_Path 属性 值 最 短 的 路 由 。 

(5) 优选 Origin 属性 最 优 的 路 由 。Origin 属性 值 按 优先 级 从 高 到 低 的 排列 是 : IGP、 
EGP 及 Incomplete。 

(6) 优选 MED 属性 值 最 小 的 路 由 。 

(7) 优选 从 EBGP 对 等 体 学 来 的 路 由 (EBGP 路 由 优先 级 高 于 IBGP 路 由 )。 

(8) 优选 到 Next Hop 的 IGP 度量 值 最 小 的 路 由 。 

(9) 优选 Cluster List 最 短 的 路 由 。 

(10) 优选 Router-ID 最 小 的 设备 通告 的 路 由 。 

(11) 优选 具有 最 小 IP 地 址 (Peer 命令 所 指定 的 地 址 ) 的 对 等 体 通告 的 路 由 。 

这 些 规则 依 序 排列 ，BGP 进行 路 由 优选 时 ， 从 第 一 条 规则 开始 执行 ， 如 果 根 据 第 一 
条 规则 无 法 作出 判断 , 例如 路 由 的 Preferred Value 属性 值 相同 , 则 继续 执行 下 一 条 规则 ， 
如 果 根 据 当 前 的 规则 ，BGP 能 够 决策 出 最 优 的 路 由 ， 则 不 再 继续 往 下 执行 。 本 书 选 取 了 
BGP 路 由 优选 规则 中 最 为 关键 的 11 条 ， 接 下 来 将 逐一 讲解 并 验证 上 述 规则 。 在 后 续 的 
内 容 中 ， 如 果 提 及 某 条 特定 的 路 由 优选 规则 ， 例 如 规则 2， 则 指 的 是 上 面 所 罗列 的 路 由 
优选 规则 2。 


7.6.1 案例 1: 优选 Preferred Value 属性 值 最 大 的 路 由 


当 到 达 同 一 个 目的 网 段 存 在 多 条 BGP 路 由 时 ， 路 由 器 首先 会 比较 这 些 路 由 的 
Preferred Value 属性 值 ， 优 选 Preferred Value 属性 值 最 大 的 路 由 。 值 得 强调 的 是 ， 
Preferred_ Value 是 一 个 华为 私有 的 路 径 属 性 ， 而 且 只 在 本 地 有 效 ， 这 个 属性 值 不 会 被 传 
递 给 任何 BGP 对 等 体 。 

在 图 7-57 所 示 的 网 络 中 ，AS 100 中 的 R1 将 路 由 10.10.0.0/16 发 布 到 BGP，R2 及 
R3 会 通过 BGP 学 习 到 这 条 路 由 ， 并 且 疝 R4 进行 通告 。 最 终 R4 会 从 R2 及 R3 都 学 习 
到 去 往 10.10.0.0/16 的 路 由 。 缺 省 时 路 由 的 Preferred Value 都 为 0， 所 以 此 时 依据 该 条 规 
则 设备 无 法 作出 判断 。 但 是 ， 我 们 可 以 通过 控制 路 由 的 Preferred Value 属性 ， 从 而 影响 
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R4 的 路 由 优选 ， 让 其 优选 R3 通告 的 路 由 ， 可 以 在 R4 上 做 如 下 配置 : 
[R4]jbgp 400 
[R4-bgpjpeer 10.1.34.3 preferred-value 6000 
在 以 上 配置 中 ，peer 10.1.34.3 preferred-value 6000 命令 用 于 将 对 等 体 10.1.34.3 通 


告 过 来 的 路 由 的 Preferred Value 属性 值 〈 在 本 地 ) 设置 为 6000。 如 此 一 来 ，R4 将 始终 
优选 R3 所 通告 的 BGP 路 由 。 
R4 的 BGP 路 由 表 : 


<R4>display bgp routing-table 


BGP Local router ID is 4.4.4.4 

Status codes: * - valid, > - best, d - damped, 
h-history, i- internal, s - suppressed, S - Stale 
Origin :i- IGP, ¢ - EGP, ? - incomplete 


Total Number of Routes: 2 
Network NextHop MED LocPrf PrefVal <- Path/Ogn 


*> 10.10.0.0/16 10.1.34.3 6000 300 100i 
10.1.24.2 0 200 100i 


从 R4 的 BGP 路 由 表 能 够 看 到 R3 及 R2 通告 的 路 由 ，R4 优选 了 R3 通告 的 路 由 ， 
因为 该 条 路 由 的 Preferred Value 属性 值 更 大 。 使 用 display bgp routing-table 10.10.0.0 命 
令 能 看 到 关于 这 条 路 由 更 详细 的 数据 : 


<R4>display bgp routing-table 10.10.0.0 


BGP local router ID : 4.4.4.4 
Local AS number : 400 
Paths: 2 available, 1 best; 1 select 
BGP routing table entry information of 10.10.0.0/16: #R3 通告 的 路 由 
From: 10.1.34.3 (3.3.3.3) 
Route Duration: 00h04ms5ls 
Direct Out-interface: GigabitEthernet0/0/1 
Original nexthop: 10.1.34.3 
Qos information ; 0x0 
AS-path 300 100, origin igp, pref-val 6000, valid, external, best, select, active, pre 255 
Advertised to such 2 peers: 
10.1.24.2 
10.1.34.3 
BGP routing table entry information of 10.10.0.0/16: #R2 通告 的 路 由 
From: 10.1.24.2 (2.2.2.2) 
Route Duration: 00h06m00s 
Direct Out-interface: GigabitEthernet0/0/0 
Original nexthop: 10.1.24.2 
Qos information : Ox0 
AS-path 200 I00, origin igp, pref-val 0, valid, external, pre 255, not preferred 
for PreVal 
Not advertised to any peer yet 


在 以 上 输出 中 ， 大 家 能 看 到 R3 通告 的 路 由 拥有 “best” 字 样 ， 这 表明 该 条 路 由 已 经 
被 优选 。 而 R2 通告 的 路 由 显示 着 “not preferred for PreVal” 字 样 ， 这 表明 该 条 路 由 在 
Preferred Value 属性 的 比较 上 ， 输 给 了 其 他 路 由 。 
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AS 100 







10.1.24.2 10.1.343 


10.10.0.0/16 


10.10.0.0/16 
pe 
hg Preferred Value=6000 
AS 400 R4 


BGP 路 由 通告 





图 7-57” R4 分 别 从 R2 及 R3 学 习 到 去 往 10.10.0.0/16 的 BGP 路 由 


在 本 例 中 ，R4 的 BGP 配置 视图 中 执行 的 peer 10.1.34.3 preferred-value 6000 命令 用 
于 将 对 等 体 R3 通告 过 来 的 所 有 BGP 路 由 的 Preferred Value 属性 值 (在 本 地 ) 设置 为 6000， 
然而 在 某 些 情况 下 ， 我 们 可 能 只 希望 对 R3 通告 过 来 的 部 分 BGP 路 由 进行 Preferred Value 
属性 值 的 设置 ， 此 时 可 以 使 用 Route-Policy， 配 置 非常 简单 ， 首 先 在 Route-Policy 的 节点 
配置 视图 中 ， 使 用 if-mateh 命令 匹配 感 兴趣 路 由 ， 然 后 使 用 apply preferred-value 命令 
设置 路 由 的 Preferred Value 属性 值 。 完 成 Route-Policy 的 定义 后 ， 只 需 在 BGP 配置 视图 
中 使 用 peer peer-address route-policy route-policy-name import 命令 针对 特定 的 对 等 体 执 
行 该 Route-Policy 即 可 。 


7.6.2 ”案例 2: 优选 Local Preference 属性 值 最 大 的 路 由 


当 到 达 同 一 个 目的 网 段 存在 多 条 BGP 路 由 时 ， 在 其 他 条 件 相同 的 情况 下 ，BGP 将 
优选 这 些 路 由 中 Local Preference 属性 值 最 大 的 路 由 。 如 果 路 由 在 传递 到 本 地 时 并 不 携 
带 Local Preference 属性 ， 则 BGP 在 决策 时 使 用 缺 省 的 Local Preference 属性 值 (100) 
来 计算 ， 这 个 缺 省 的 值 可 以 使 用 default local-preference 命令 修改 。 

在 图 7-58 所 示 的 网 络 中 ，R4 会 从 R2 及 R3 都 学 习 到 一 条 到 达 10.11.0.0/16 的 路 由 ， 
缺 省 时 路 由 的 Local Preference 属性 值 都 为 100, 所 以 此 时 依据 该 条 规则 设备 无 法 作出 判 
断 。 但 是 可 以 通过 调整 路 由 的 Local Preference 属性 值 ， 从 而 让 R4 优选 从 R3 学 习 到 的 
10.11.0.0/16 路 由 。 在 R3 上 完成 如 下 配置 : z 


AS 100 






| 10.11.0.0/16 
Locali Preference=100 
和 


AS 234 Rd 


10.11.0.0/16 
Local _Preference=200 


BGP 路 由 通告 
图 7-58 ”优选 Local Preference 属性 值 最 大 的 路 由 


第 7 章 BGP 


[R3]ip ip-prefix 1 permit 10.11.0.0 16 


[R3jroute-policy hcnp permit node 10 
[R3-route-policy]if-match ip-prefix 1 
[R3-route-policy]apply local-preference 200 
[R3-route-policy]quit 


[R3]bgp 234 
[R3-bgp]peer 4.4.4.4 route-policy hcnp export 
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Router-Policy 中 配置 的 apply local-preference 200 命令 用 于 设置 路 由 的 Local Preference 


属性 值 。 
完成 上 述 配置 后 ， 检 查 一 下 R4 的 BGP 路 由 表 : 
[R4]display bgp routing-table 
BGP Local router ID is 4.4.4.4 
Status codes: * - valid, > - best, d - damped, 


h-history, i- internal, s - suppressed, S - Stale 
Origin : 1- IGP, e - EGP, ? -incomplete 


Total Number of Routes: 2 


Network NextHop MED LocPrf PrefVal 
*>i 10.11.0.0/16 3.33.3 0 200 0 
要 iid, 0 100 0 


从 上 述 输出 可 以 看 出 ，R4 分 别 从 R2 及 R3 学 习 到 了 去 往 


Path/Ogn 


100i 
100i 


10.11.0.0/16 的 BGP 路 由 ， 


这 两 条 路 由 的 Preferred Value 都 是 缺 省 值 0， 因 此 根据 第 一 条 规则 是 无 法 作出 判断 的 。 
最 终 R4 优选 R3 通告 的 路 由 ， 从 表 中 大 家 能 看 出 该 条 路 由 的 Local Preference 值 为 200， 


比 另 一 条 路 由 更 大 。 


可 以 通过 display bgp routing-table 10.11.0.0 命令 确认 一 下 是 否 Local Preference 属 


性 对 路 由 的 优选 起 到 决定 性 的 作用 : 


[R41ldisplay bgp routing-table 10.11.0.0 


BGP local router ID : 4.4.4.4 

Local AS number : 234 

Paths: 2 available, 1 best, 1 select 

BGP routing table entry information of 10.11.0.0/16: #R3 通告 的 路 由 

From: 3.3.3.3 (3.3.3.3) 

Route Duration: 00h04m58s 

Relay IP Nexthop: 10.1.34.3 

Relay IP Out-Interface: GigabitEthernet0/0/1 

Original nexthop: 3.3.3.3 

Qos information : Ox0 

AS-path 100, origin igp, MED 0, localpref 200, pref-val 0, valid, internal, best 
, Select, active, pre 255, IGP cost 1 

Not advertised to any peer yet 


BGP routing table entry information of 10.11.0.0/16: #R2 通告 的 路 由 
From: 2.2.2.2'(10.1.12.2) 

Route Duration: 00h07m32s 

Relay IP Nexthop: 10.1.24.2 

Relay IP Out-Interface: GigabitEthernet0/0/0 
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Orniginal nexthop: 2.2.2.2 

Qos information : 0x0 

AS-path 100, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, pre 
255, IGP cost 1, not preferred for Local Pref 

Not advertised to any peer yet 


从 以 上 输出 可 以 看 到 ，R2 通告 的 BGP 路 由 显示 看 “not preferred for Local Pref” 字 
样 ， 这 说 明 该 条 路 由 是 在 Local Preference 属性 的 比较 上 ， 输 给 了 其 他 路 由 。 


7.6.3 ”案例 3: 本 地 始 发 的 BGP 路 由 优 于 从 其 他 对 等 体 学 习 到 的 路 由 


当 到 达 同 一 个 目的 网 段 存 在 多 条 BGP 路 由 时 ， 在 其 他 条 件 相同 的 情况 下 ，BGP 
将 优选 本 地 始 发 的 路 由 ， 而 不 是 其 他 对 等 体 通告 过 来 的 路 由 。 如 果 这 些 路 由 都 是 从 其 
他 对 等 体 学 习 到 的 ， 则 进入 下 一 条 规则 进行 比较 ; 如 果 这 些 路 由 都 是 从 本 地 始 发 的 ， 
则 BGP 将 按照 如 下 顺序 进行 优选 :通过 手工 汇总 的 方式 发 布 的 路 由 、 通 过 自动 汇总 
的 方式 发 布 的 路 由 、 通 过 network 命令 发 布 的 路 由 、 通 过 import-route 命令 发 布 的 
路 由 。 

以 图 7-59 展示 的 网 络 为 例 ，AS 13 中 的 三 合 路 由 器 首先 都 运行 了 OSPF，R2 将 直 连 
网 段 10.2.2.0/24 发 布 到 了 OSPF 中 ， 如 此 一 来 Rl1 及 R3 都 能 通过 OSPF 获知 到 达 该 网 段 
的 路 由 。R1 及 R3 运行 BGP 并 且 建 立 IBGP 对 等 体 关 系 。 接 下 来 R1 将 OSPF 路 由 
10.2.2.0/24 发 布 到 BGP， 这 样 R3 便 能 通过 BGP 学 习 到 这 条 路 由 。 随 后 R3 也 使 用 network 
的 方式 将 路 由 表 中 的 OSPF 路 由 10.2.2.0/24 发 布 到 BGP, 那么 R3 的 BGP 路 由 表 将 出 现 
两 条 到 达 10.2.2.0/24 的 路 由 , 一 条 是 学 习 自 R1 的 , 另 一 条 , 则 是 在 本 地 发 布 到 BGP 的 。 
由 于 本 案例 的 配置 比较 简单 ， 这 里 不 做 罗列 。 


wa Wp wa ee ~ Tr ~ 一 ~ 


10.2.2.0/24 





检查 一 下 R3 的 BGP 路 由 表 : 


<R3>display bgp routing-table 


BGP Local router ID is 3.3.3.3 

Statas codes: * - valid, > - best, d - damped, 
h - history， 1-internal,s- Suppressed, S - Stale 
Origin : 1- IGP, e - EGP, ? - incomplete 


Total Number of Routes: 2 
Network NextHop MED LocPrf _ PrefVal Path/Ogn 


*> 10.2.2.0/24 0.0.0.0 1 , 0 i 
ek bold, 1 100 0 i 
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从 R3 的 BGP 路 由 表 可 以 看 到 ， 关 于 目标 网 段 10.2.2.0/24， 它 发 现 了 两 条 BGP 路 由 ， 
R3 优选 的 是 本 地 始 发 的 那 条 路 由 (Next Hop 属性 值 为 0.0.0.0)， 这 与 我 们 的 预期 是 相 
符 的 。 

在 R3 上 使 用 display bgp routing-table 10.2.2.0 命令 查看 该 路 由 的 详细 内 容 , 可 看 到 
如 下 输出 : 


<R3>display bgp routing-table 10.2.2.0 


BGP local router ID : 3.3.3.3 

Local AS number : 13 

Paths: 2 available, ] best, 1 select 

BGP routing table entry information of 10.2.2.0/24: # 使 用 network 命令 发 布 的 路 由 

Network route. 

From: 0.0.0.0 (0.0.0.0) 

Route Duration: 00h33m22s 

Direct Out-interface: GigabitEthernet0/0/0 

Original nexthop: 10.1.23.2 

Qos information : 0x0 

AS-path Nil, origin igp, MED 1, pref-val 0, valid, local, best, select, pre 10 

Advertised to such 1 peers: 

了 吉本 村 

BGP routing table entry information of 10.2.2.0/24: #R1 通告 过 来 的 路 由 

From: 1.1:1.1 (10.1.12.1) 

Route Duration: 00h34m02s 

Relay IP Nexthop: 10.1.13.1 

Relay IP Out-Interface: GigabitEthernet0/0/1 

Original nexthop: 1.1.1.1 

Qos information : Ox0 

AS-path Nil, origin igp, MED 1, localpref 100, pref-val 0, valid, internal, pre 
255, IGP cost 1, not preferred for route type 

Not advertised to any peer yet 


从 上 述 输出 可 以 看 到 , R1 通告 过 来 的 BGP 路 由 10.2.2.0/24 显示 着 “not preferred for 
route type” 字 样 ， 这 说 明 由 于 路 由 类 型 的 原因 ，R1 所 通告 的 这 条 路 由 并 没有 被 优选 。 


7.6.4 ”案例 4: 优选 AS Path 属性 最 短 的 路 由 


当 路 由 器 学 习 到 多 条 去 往 相 同 目的 网 段 的 BGP 路 由 时 ， 在 其 他 条 件 相 同 的 情况 下 ， 
例如 这 些 路 由 拥有 相同 的 Preferred Value 属性 值 、Local Preference 属性 值 ， 而 且 都 不 是 
从 本 地 始 发 的 BGP 路由， 那么 BGP 将 比较 这 些 路 由 的 AS_Path 属性 ， 并 优选 具有 最 短 
AS_Path 属性 的 路 由 。 

以 图 7-60 展示 的 网 络 为 例 ，R1 将 路 由 10.13.0.0/16 发 布 到 了 BGP， 最终 R3 将 从 RI 
及 R2 都 学 习 到 去 往 该 网 段 的 BGP 路 由 。 缺 省 情况 下 ，R3 将 优选 R1 所 通告 的 10.13. 0.0/16 
路 由 ， 因 为 这 条 路 由 所 携带 的 AS_Path 属性 值 为 100， 而 R2 通告 过 来 的 路 由 的 AS_Path 
属性 值 为 200 100， 显 然 前 者 要 更 短 (只 有 1 个 AS 号)。 

BGP 允许 用 户 通 过 路 由 策略 修改 路 由 的 AS_Path 属性 ， 从 而 影响 路 由 优选 。 例 如 在 
R1 上 通过 部 署 路 由 策略 ， 使 得 其 通告 给 R3 的 路 由 的 AS_Path 属性 值 变 长 〈 如 增加 2 个 
AS 号 )， 则 可 以 让 R3 优选 R2 通告 的 BGP 路 由 ， 这 样 当 R3 转发 到 达 10.13.0.0/16 的 数 
据 包 时 ， 就 会 选择 R3-R2-R1 这 条 路 径 。 
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10.13.0.0/16 


R2 AS Path=100 100 100 
AS 200 本 
插入 100 100 
-40-13:0:0/16- 于 
AS Path=200 100 | 
F700 R3 
| AS 300 

BGP 路 由 通告 





图 7-60 ”优选 AS Path 属性 最 短 的 路 由 
R1 的 关键 配置 如 下 : 


[R1]ip ip-prefix 1 permit 10.13.0.0 16 


[Rl jroute-policy henp permit node 10 
[Rl-route-policylif-match ip-prefix 1 
[Ri-route-policy]Japply as-path 100 100 additive 
[Rl1-route-policy]quit 


[Rllbgp 100 
[R1-bgp]peer 10.1.13.3 route-policy henp export 
在 以 上 配置 中 ，Route-Policy 中 执行 的 apply as-path 100 100 adiditive 命令 用 于 在 被 


匹配 的 BGP 路 由 的 AS Path 属性 值 中 插入 两 个 AS 号 “100 100”。 如 此 一 来 ， 当 RI1 通 
告 BGP 路 由 10.13.0.0/16 给 R3 时 ， 由 于 它 部 蜀 了 出 方 同 的 Route-Policey， 因 此 该 条 路 由 
的 AS_Path 属性 首先 会 被 插入 “100 100”， 然 后 R1 发 现 路 由 要 被 通告 给 一 个 EBGP 对 
等 体 ， 它 在 上 述 AS_Path 的 基础 上 ， 在 最 左边 插入 本 地 的 AS 号 100， 如 此 一 来 ， 这 条 
路 由 的 AS_Path 束 变 成 了 “100 100 100”。 

检查 一 下 R3 的 BGP 表 : 


[R3]display bgp routing-table 


BGP Local router ID is 3.3.3.3 

Status codes: * - valid, > - best, d - damped, 
h - history, 1 - internal, s - suppressed, S - Stale 
Origin : i - IGP, e - EGP, ? - incomplete 


Total Number of Routes: 2 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*> 10.13.0.0/16 10;1.23.2 0 200 100i 
. 10.1.13.1 0. 0 100 100 100i 


现在 到 达 10.13.0.0/16 的 路 由 中 ，R3 优选 的 是 从 R2 通告 过 来 的 路 由 ， 因 为 该 路 由 
的 AS _ Path 长 度 为 2， 相 比 于 R1 通告 的 路 由 要 更 短 。 值 得 强调 的 是 ， AS Path 是 BGP 
非常 重要 的 属性 ，EBGP 路 由 的 防 环 依 赖 于 AS Path 属性 的 正常 工作 ， 因 此 如 果 出 于 影 
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啊 路 由 优选 的 目的 修改 AS_Path 属 性 ,操作 十 非 常 慎重 ,一 般 情 况 下 ,不 建议 修改 AS_Path 
属性 值 。 在 本 例 中 ， 出 于 影响 BGP 路 由 优选 的 目的 ， 我 们 将 R1 所 通告 的 BGP 路 由 的 
AS Path 属性 加 长 ,因此 插入 了 两 个 值 为 100 的 AS 号 (而 不 是 随意 设置 所 插入 的 AS 号 )， 
这 样 既 加 长 了 AS _Path， 对 网 络 的 影响 又 是 最 小 的 。 

在 BGP 配置 视图 下 执行 bestroute as-path-ignore 命令 后 ， 路 由 器 在 BGP 选 路 时 ， 
将 忽略 AS Path 的 比较 。 


7.6.5 ”案例 5: 优选 Origin 属性 为 IGP 的 路 由 ( 相 比 于 Origin 属性 为 
Incomplete 的 路 由 ) 


当 路 由 器 学 习 到 多 条 去 往 相 同 目的 网 段 的 BGP 路 由 时 ， 在 其 他 条 件 都 相同 的 情况 
下 , BGP 将 选择 Origin 属性 最 优 的 路 由 。Origin 属性 值 按 优先 级 从 高 到 低 的 排列 是 : IGP、 
EGP、 Incomplete。 

在 图 7-61 所 示 的 网 络 中 ，R1、R2 及 R3 运行 了 OSPF，R2 及 R3 能 够 通过 OSPF 学 
习 到 10.14.0.0/16 路 由 。R2 及 R4，R3 及 R4 建立 了 EBGP 对 等 体 关 系 。 现 在 为 了 让 R4 
能 够 通过 BGP 学 习 到 这 条 路 由 ， 可 以 让 R2 及 R3 将 该 路 由 发 布 到 BGP。 假 设 R2 采用 
network 命令 将 路 由 发 布 到 BGP， 而 R3 采用 import-route 的 方式 。 则 R2 的 关键 配置 


如 下 : 
[R2Jbgp 23 
[R2-bgplnetwork 10.14.0.0 16 
| AS 23 eae ee eA 加 | 
A 10.14.0.0/16: 








| R2 * 和 CIESETETIITT TT ) R3 \ 
O24 pp tt343=— 
10.14.0.0/16 10.14.0.0/16 
Origin=IGP Origin=Incomplete 
R4 AS 400 
BGP 路 由 通告 





图 7-61 ”优选 Origin 属性 为 IGP 的 路 由 〈 相 比 于 Origin 属性 为 Incomplete 的 路 由 ) 
R3 的 关键 配置 如 下 : 


[R3]ip ip-prefix 1 permit 10.14.0.0 16 


[R3]route-policy henp permit node 10 
[R3-route-policy]i 人 match ip-prefix 1 
[R3-route-policy]quit 


[R3]bgp 23 
[R3-bgplimport-route ospf 1 route-policy henp 


完成 上 述 配 置 后 ， 首 先 检查 一 下 R4 的 BGP 表 : 
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<R4>display bgp routing-table 


BGP Local router ID is 4.4.4.4 

Status codes: * - valid, > - best, d - damped, 
h -history， i- internal,s - suppressed,S - Stale 
Origin : 1- IGP, e - EGP., ? - incomplete 


Total Number of Routes: 2 
Network NextHop MED LocPrf PrefVal Path/Ogn 


*> 10.14.0.0/16 10.1.24.2 1 0 23i 
10.1.34.3 ] 0 237 


从 R4 的 BGP 路 由 表 可 以 看 到 ， 它 已 经 分 别 从 R2 及 R3 学 习 到 了 10.14.0.0/16 的 BGP 
路 由 。 这 两 条 路 由 由 于 分 别 采用 network 与 import-route 命令 发 布 到 BGP， 因 此 路 由 
的 Origin 属性 值 并 不 一 样 。R2 采用 network 命令 将 路 由 通告 到 BGP, 因此 这 条 路 由 的 
Origin 属性 值 为 IGP， 而 R3 则 采用 import-route 命令 将 路 由 通告 到 BGP， 因 此 该 路 由 
的 Origin 属性 值 为 Ihcomplete。 在 其 他 条 件 相同 的 情况 下 ，R4 将 优选 Origin 属性 为 IGP 
的 路 由 。 


在 R4 上 使 用 display bgp routing-table 10.14.0.0 命令 可 以 查看 到 详细 信息 : 
<R4>display bgp routing-table 10.14.0.0 


BGP local router ID : 4.4.4.4 

Local AS number : 400 

Paths: 2 available, 1 best, 1 select 

BGP routing table entry information of 10.14.0.0/16: 

From: 10.1.24.2 (2.2.2.2) 

Route Duration: 00h0Sm54s 

Direct Out-interface: GigabitEthernet0/0/0 

Original nexthop: 10.1.24.2 

Qos information : Ox0 

AS-path 23, origin igp, MED 1, pref-val 0, valid, external, best select, active 
,pre 255 

Advertised to such 2 peers: 

10.1,24.2 
10.1.34.3 

BGP routing table entry information of 10.14.0.0/16: 

From: 10.1.34.3 (3.3.3.3) 

Route Duration: 0Q0h0Sm49s 

Direct Out-interface: GigabitEthernet0/0/1 

Original nexthop: 10.1.34.3 

Qos information : Ox0 

AS-path 23, origin incomplete, MED 1, pref-val 0, valid, external, pre 255, not 
preferred for Origin 

Not advertised to any peer yet 


从 以 上 输出 中 的 “not preferred for Origin” 字 样 可 以 看 出 ， 从 R3 通告 过 来 的 BGP 
路 由 10.14.0.0/16 由 于 Origin 属性 的 原因 没有 被 优选 。 






和 在 Route-Policy 的 节点 视图 中 ,使 用 apply origin 命令 可 以 修改 BGP 路 由 的 Origin 
属性 。 一 般 而 言 ， 不 建议 随意 使 用 Route-Policy 修改 路 由 的 Origin 属性 。 
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7.6.6 ”案例 6: 优选 MED 属性 值 最 小 的 路 由 


当 路 由 器 学 习 到 多 条 去 往 相 同 目的 网 段 
的 BGP 路 由 时 ,在 其 他 条 件 都 相同 的 情况 下 ， 
BGP 将 比较 这 些 路 由 的 MED 属性 ， 并 优选 
MED 属性 值 最 小 的 路 由 。 

在 图 7-62 所 示 的 网 络 中 ， 处 于 AS 23 的 
R2 及 R3 通过 OSPF 学 习 到 了 10.15.0.0/16 路 
由 ， 为 了 让 EBGP 对 等 体 R4 能 够 通过 BGP 
学 习 到 该 条 路 由 ，R2 及 R3 将 这 条 路 由 发 布 
到 了 BGP。 现 在 ， 如 果 和 硕 望 R4 访问 10.15. 
0.0/16 时 ， 优 先 从 R2 到 达 ， 当 R2 发 生 故 障 
时 ， 流 量 能 够 目 动 切 换 到 R3， 那 么 束 需 要 部 
署 路 由 策略 了 。 通 过 操控 路 由 的 MED 属性 ， 
可 以 轻松 地 实现 这 个 需求 。 

R2 的 关键 配置 如 下 : 

[R2]ip ip-prefix 1 permit 10.15.0.0 16 

[R2]route-policy ha permit node'10 

[R2-route-policy]if-match ip-prefix 1 


[R2-route-policyJapply cost 1000 
[R2-route-policy]quit 


[R2]Jbgp23 z 
[R2-bgplpeer 10.1.24.4 route-policy hcnp export 
. [R2-bgplnetwork 10.15.0.0 16 


R3 的 关键 配置 如 下 : 


[R3]ip ip-prefix 1 permit 10,15.0.0 16 


[R3]Jroute-policy henp permit node 10 
[R3-route-policyl]if-match ip-prefix 1 
[R3-route-policy]apply cost 2000 
[R3-route-policy]quit 


[R3]bgp 23 
[R3-bgplpeer 10.1.34.4 route-policy henp export 
[R3-bgplnetwork 10.15.0.0 16 


完成 上 述 配置 后 ， 检 查 一 下 R4 的 BGP 表 : 


<R4>display bgp routing-table 


BGP Local router ID is 4.4.4.4 
Status codes: * - valid, > - best, d - damped, 


h - history，i - internal, s - suppressed, S - Stale 


Origin : i - IGP, e - EGP, ? - incomplete 


Total Number of Routes: 2 


TE TD A 

p . 

ee 
上 


Wo 





10.15.0.0/16 
MED=1000 


R4 AS 400 | 


出 
WIFIDVNNTDRWWWaauummWNDWWTTSWRENRNUITTWNNWWPINWWRTRTTRNWRARTRNbMiVANNaNRPGPWVA 
BGP 路 由 通 





图 7-62 ”优选 MED 属性 值 最 小 的 路 由 
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Network NextHop MED LocPrf PrefVal Path/Ogn 
*> 10.15.0.0/16 10.1.24.2 1000 0 231 
. 10.1.34.3 2000 0 231 


显然 ，R4 已 经 从 R2 及 R3 各 学 习 到 了 一 条 10.15.0.0/16 的 BGP 路 由 ， 而且 R4 优选 
了 从 R2 通告 过 来 的 路 由 。 在 R4 上 使 用 display bgp routing-table 10.15.0.0 命令 可 以 查 
看 关于 这 条 路 由 的 详细 信息 : 


<R4>display bgp routing-table 10.15.0.0 


BGP local router ID : 4.4.4.4 
Local AS number : 400 
Paths: 2 available, 1 best, 1 select 
BGP routing table entry information of 10.15.0;0/16: 
From: 10.1.24.2 (2.2.2.2) 
Route Duration: 00h03m26s 
Direct Out-interface: GigabitEthernet0/0/0 
Original nexthop: 10.1.24.2 
Qos information : Ox0 
AS-path 23, origin igp, MED 1000, pref-val 0, valid, external, best; select, active, pre 255 
Advertised to such 2 peers: 
10.1.24.2 
10.1.34.3 
BGP routing table entry information of 10.13.0.0/16: 
From: 10.1.34.3 (3.3,3.3) 
Route Duration: 00h01m40s 
Direct Out-interface: GigabitEthernet0/0/1 
Original nexthop: 10.1.34.3 
Qos information : Ox0 
AS-path 23, origin 1gp, MED 2000, pref-val 0, valid, external, pre 255, not preferred for MED 
Not advertised to any peer yet 


从 以 上 输出 中 的 “not preferred for MED ”字样 可 以 看 出 ， 从 R3 通告 过 来 的 BGP 路 
由 10.15.0.0/16 由 于 MED 属性 的 原因 没有 被 优选 。 


7.6.7 案例 7: EBGP 路 由 的 优先 级 高 于 IBGP 路 由 


当 路 由 器 学 习 到 多 条 去 往 相 同 目的 网 段 的 BGP 路 由 时 ， 在 其 他 条 件 都 相同 的 情况 
下 ，BGP 将 优选 从 EBGP 对 等 体 通告 过 来 的 路 由 〈 相 比 于 从 IBGP 对 等 体 通 告 过 来 的 
路 由 )。 

在 图 7-63 所 示 的 网 络 中 ,位 于 AS 100 的 Rl 将 BGP 路 由 10.23.0.0/16 通 告 给 了 EBGP 
对 等 体 R2 以 及 R3， 而 R2 收 到 这 条 BGP 路 由 后 ， 会 将 其 通告 给 R3， 如 此 一 来 ，R3 将 
从 EBGP 对 等 体 以 及 IBGP 对 等 体 分 别 学 习 到 去 往 相 同 目的 网 段 的 路 由 。 大 家 可 以 观察 
一 下 R3 的 BGP 路 由 表 : 

<R3>display bgp routing-table 

BGP Local router ID 1s 3.3.3.3 

Status codes: * - valid, > - best, d - damped, 


h -history, i-internal, s - suppressed, S- Stale 
Origin : 1- IGP, e - EGP, ? - incomplete 
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Total Number of Routes: 2 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*> 1023:0:0/16 10,1,.13,1 lo 0 1001 
wt 22.22 0 100 0 100i 
AS 100 






10.23.0.0/16 


12222 10.23.0.0/16 | 
BGP 路 由 通告 





图 7-63 ”EBGP 路 由 优先 级 高 于 IBGP 路 由 


从 上 述 输出 可 以 看 出 ,，R3 优选 了 通告 自 Rl 的 BGP 路 由 。 使 用 display bgp routing- 
table 10.23.0.0 命令 可 以 查看 关于 这 条 路 由 的 详细 信息 : 


<R3>display bgp routing-table 10.23.0.0 


BG?P local router ID : 3.3.3.3 

Local AS number : 23 

Paths: 2available, 1 best, 1 Select 

BGP routing table entry information of 10.23.0.0/16: 

Froms JO0d.13.4(010.1,12.1) 

Route Duration: 00h04m38s 

Direct Out-interface: GigabitEthernet0/0/1 

Original nexthop: 10.1.13.1 

Qos information : Ox0 

AS-path 100, origin igp, MED 0, pref-val 0, valid, external, best, select, active, pre 255 

Advertised to such 1 peers: 

yy By 

BG?P routing table entry information of 10.23.0.0/16: 

Jo 2.2.2.2(2.2.2.2) 

Route Duration: 00h04m13s 

Relay IP Nexthop: 10.1.23.2 

Relay JP Out-Interface: GigabitEthernet0/0/0 

Original nexthop: 2.2.2.2 

Qos information : Ox0 

AS-path 100, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, pre 
255, IGP cost 1, not preferred for peer type 

Not advertised to any peer yet 


从 以 上 输出 中 的 “not preferred for peer type” 了 字样 可 以 看 出 ， 从 R2 通告 过 来 的 BGP 
路 由 10.23.0.0/16 由 于 对 等 体 类 型 的 原因 没有 被 优选 ， 这 是 因为 R2 是 其 IBGP 对 等 体 ， 
而 R1 是 其 EBGP 对 等 体 ， 因 此 在 其 他 条 件 相 同时 ，BGP 将 优选 通告 目 EBGP 对 等 体 的 
路 由 。 
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7.6.8 ”案例 8: 优选 到 Next Hop 的 IGP 度量 值 最 小 的 路 由 


当 路 由 器 学 习 到 多 条 去 往 相 同 目的 网 段 的 BGP 路 由 时 ， 在 其 他 条 件 都 相同 的 情况 
下 ，BGP 将 比较 从 本 地 到 达 这 些 路 由 的 Next _Hop 的 I IGP P 度量 值 ， 优选 IGP 度量 值 最 小 
的 路 由 。 ES 

以 图 7-64 为 例 ，AS 234 中 的 R2、R3 及 10.77.0.0/16 
R4 运行 了 OSPF, 三 台 路 由 器 均 创 建 Loopback0 ”一 Ai st 
接口 并 为 其 配置 x.x.x.x/32 的 卫 地 址 ， 其 中 x | 
为 设备 编号 。R2 及 R4、R3 及 R4 建立 IBGP 
对 等 体 关 系 , 所 有 的 IBGP 对 等 体 关 系 均 基于 
设备 的 Loopback0 接口 建立 。R1 及 R2、R1 
及 R3 建立 EBGP 对 等 体 关 系 。 现 在 ，R1 将 | AS 234、， R4 





cE 





10.77.0. 0/16 


g | 

10. 用 0.0/16 | 

Next es 3.38 
1 


| 
| 
| 
> Hop 过 





| 下 | 
路 由 10.77.0.0/16 发 布 到 BGP， 并 通过 BGP L_ 一 
将 该 路 由 通告 给 R2 及 R3， 接 下 来 R2 及 R3 BGP 路 由 通告 


执行 了 peer next-hop-local 命令 )。 最 小 的 路 由 
现在 观察 一 下 R4 关于 这 两 条 路 由 的 优选 情况 。 首 先 看 看 R4 的 BGP 路 由 表 : 


<R4>display bgp routing-table 


BGP Local router ID is 10.1.24.4 

Status codes: * - valid, > - best, d - damped, 
h-history, 1- internal, s - suppressed, S - Stale 
Origin : i- IGP, e - EGP, ? - incomplete 


Total Number of Routes: 2 ; 
Network NextHop MED LocPrf PrefVal Path/Ogn 


*>i 10.77.0.0/16 2 2 0 100 0 100i 
pq 3 0 100 0 100i 


它 优选 了 通告 自 R2 的 10.77.0.0/16 路 由 ， 从 BGP 路 由 表 中 暂时 看 不 出 优选 这 条 路 
由 的 原因 ， 进 一 步 检查 这 条 路 由 的 详细 信息 : 


<R4>display bgp routing-table 10.77.0.0 


BGP local router ID ; 10.1.24.4 

Local AS number : 234 

Paths: 2 available, 1 best, 1 select 

BGP routing table entry information of 10.77.0.0/16: 
From: 2.2.2.2 (2.2.2.2) 

Route Duration: 00h02m07s 

Relay IP Nexthop: 10.1.24.2 

Relay IP Out-Interface: GigabitEthernet0/0/0 

Original nexthop: 2.2.2,2 

Qos information : Ox0 

AS-path 100, origin igp, MED 0, localpref 100, pret al 0, valid, internal, best 
, Select active, pre 255, IGP cost 1 

Not advertised to any peer yet 
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BGP routing table entry information of 10.77.0.0/16: 

From: 3.3.3,3.(3,3:3.3) 

Route Duration; 00h02m14s 

Relay IP Nexthop: 10.1.34.3 

Relay IP Out-Interface: Seriall/0/0 

Original nexthop: 3.3.3.3 

Qos information : Ox0 

AS-path 100, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, pre 
255, IGP cost 48, not preferred for IGP cost 

Not advertised to any peer yet 


从 上 述 输 出 可 以 看 到 ， 到 达 10.77.0.0/16 存在 两 条 路 由 ， 其 中 R2 所 通告 的 BGP 路 
由 的 Next_Hop 属性 值 为 2.2.2.2, 而 R4 已 经 通过 OSPF 学 习 到 了 去 往 2.2.2.2 的 路 由 , 并 
日 度量 值 为 1， 另 一 边 ，R3 所 通告 的 BGP 路 由 的 Next_Hop 属性 值 为 3.3.3.3，R4 也 通 
过 OSPF 学 习 到 了 去 往 3.3.3.3 的 路 由 ， 且 度量 值 为 48。 因 此 ，R4 到 达 2.2.2.2 的 路 由 的 
度量 值 比 到 达 3.3.3.3 的 路 由 的 度量 值 要 更 小 ， 最 终 它 将 优选 通告 自 R2 的 10.77.0.0/16 
路 由 。 

如 果 配 置 了 bestroute igp-metric-ignore 命令 ， 那 么 BGP 在 执行 路 由 优选 时 将 忽略 
IGP 上 度量 值 的 比较 。 


7.6.9 案例 9: 优选 Cluster _ List 最 短 的 路 由 


当 路 由 器 学 习 到 多 条 去 往 相 同 目的 网 段 的 BGP 路 由 时 ， 在 其 他 条 件 都 相同 的 情况 
下 ，BGP 将 比较 这 些 路 由 的 Cluster List 属性 ， 并 优选 Cluster List 最 短 的 路 由 。 

在 图 7-65 所 示 的 网 络 中 ，AS 64512 内 五 台 路 由 器 首先 运行 了 OSPF， 所 有 的 路 由 器 
均 创 建 Loopback0 接口 并 为 该 接口 配置 x.x.x.x/32 的 卫 地 址 (其 中 x 为 设备 编号 )， 这 些 
接口 的 路 由 已 经 被 发 布 到 了 OSPF。R1 与 R2?、R1 与 R3、R2 与 R5、R3 与 R4、R4 与 
R5 均 建 立 IBGP 对 等 体 关 系 ， 所 有 的 IBGP 对 等 体 关 系 基 于 Loopback0 接口 建立 。R2、 
R3 及 R4 均 被 配置 为 路 由 反射 器 ， 其 中 R1 是 R2 的 客户 ， 也 是 R3 的 客户 ，R3 是 R4 的 
A 










rR1f 10.62.0.0/16 
Wg Wa 
(路 由 反射 器 ) R2 作 全 5 二 和 3 搬 R3 (路 由 反射 器 ) 


10.62.0.0/16 
Originator_ ID=1.1.1.1 
Cluster List=3.3.3,3 


区 R4 (路 由 反射 器 》 


i 
0 


' 10.62.0.0/16 
Originator_ID=1.1.1.1 
Chuster_List=2.2.2.2 


| riginator_ ID=1.1.1.1 
| Cluster_List=4.4.4.4，3.3.3.3 
AS 64512 ] 
BGP 路 由 通告 
oo 


图 7-65 ”优选 Cluster List 最 短 的 路 由 
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站 ”从 这 个 场景 大 家 可 以 看 到 ， 路 由 反射 器 是 支持 嵌 套 的 ， 一 台 设 备 可 以 被 指定 为 路 
由 反射 器 ， 并 将 别 的 设备 指定 为 自己 的 客户 ， 与 此 同时 ， 它 自己 也 可 以 是 其 他 路 由 反射 
器 的 客户 。 


现在 ，R1 向 BGP 发 布 了 路 由 10.62.0.0116。 最 终 ，R5 将 从 R2 及 R4 各 学 习 到 一 条 
10.62.0.0/16 路 由 , Rs 需要 在 其 中 进行 优选 ,首先 这 两 条 路 由 的 Next_Hop 均 是 可 达 的 (两 
条 路 由 的 Next_Hop 属性 值 均 为 1.1.1.1，R5 能 够 通过 OSPF 学 习 到 去 往 1.1.1.1 的 路 由 )， 
另外 , 两 条 路 由 的 Preferred Value 及 Local Preference 属性 值 都 相等 , 且 都 是 从 其 他 BGP 
对 等 体 学 习 过 来 的 路 由 ，AS_Path 属性 一 样 长 ，Origin 及 MED 属性 也 相等 ， 路 由 类 型 也 
相同 ， 而 Rs 到 达 这 两 条 路 由 的 Next_Hop 的 IGP 度量 值 也 相等 (两 条 路 由 的 Next_Hop 
属性 值 相同 ， 不 具有 可 比 性 )， 所 以 ， 依 据 选 路 规则 1 一 8 都 无 法 做 出 决策 。 下 一 步 ，R5 
会 比较 这 两 条 路 由 的 Cluster List 属性 ， 优 选 Cluster_ List 属性 最 短 的 路 由 。 由 于 R2 通 
告 过 来 的 10.62.0.0/16 路 由 的 Cluster_ List 属性 值 要 比 R4 所 通告 的 该 条 路 由 的 Cluster List 
属性 值 更 短 ， 因 此 前 者 将 被 优选 。 

在 Rs 上 使 用 display bgp routing-table 10.62.0.0 命令 查看 一 下 关于 这 条 路 由 的 详细 
信息 : 


[RSl]display bgp routing-table 10.62.0.0 


BGP local router ID ; 5.5.5.5 

Local AS number : 64512 

Paths: 2 available, 1 best, 1 select 

BGP routing table entry information of 10.62.0.0/16: 

From: 2.2.2.2 (2.2.2.2) 

Route Duration: 00h02m39s 

Relay IP Nexthop: 10.1.25.2 

Relay IP Out-Interface: GigabitEthernet0/0/0 

Original nexthop: 1.1.1.1 

Qos information : 0x0 

AS-path Nil, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, best 
, Select active, pre 255, IGP cost 2 

Originator: 1.1.1.1 

Cluster list: 2.2.2.2 

Not advertised to any peer yet 


BGP routing table entry information of 10.62.0.0/16: 

From: 4.4.4.4 (4.4.4.4) 

Route Duration: 00h02m16s 

Relay IP Nexthop: 10.1.25.2 

Relay IP Out-Interface: GigabitEthernet0/0/0 

Original nexthop: 1.1.1.1 

Qos information : Ox0 

AS-path Nil, origin igp, MED 0, localpref 100, pref-val 0, valid, internal, pre 
255, IGP cost 2, not preferred for Cluster List 

Originator: 1.1.1.1 

Cluster list; 4.4.4.4, 3.3.3.3 

Not advertised to any peer yet 


从 以 上 输出 可 以 看 到 ，R5 优选 了 从 R2 通告 过 来 的 10.62.0.0/16 路 由 ， 这 是 由 于 该 


第 7/ 章 BGP 365 


条 路 由 的 Cluster List 属性 更 短 。 
7.6.10 “案例 10: 优选 Router-ID 最 小 的 对 等 体 所 通告 的 路 由 


当 路 由 器 学 习 到 多 条 去 往 相 同 目的 网 段 的 BGP 路 由 时 ， 在 其 他 条 件 都 相同 的 情况 
下 ，BGP 将 比较 通告 这 些 路 由 的 对 等 体 的 Router-ID， 并 优选 Router-ID 最 小 的 对 等 体 所 
通告 的 路 由 。 

在 图 7-66 所 示 的 网 络 中 ，R2 及 R3 将 它们 通过 OSPF 学 习 到 的 10.33.0.0/16 路 由 发 
布 进 了 BGP。 如 此 一 来 R4 便 能 分 别 从 R2 及 R3 学 习 到 去 往 该 网 段 的 路 由 。 在 不 部 署 任 
何 路 由 策略 的 情况 下 ， 由 于 其 他 条 件 都 相同 ， 因 此 R4 无 法 依据 选 路 规则 1 一 9 做 出 路 由 
优选 的 决策 。 






10.33.0.0/16, 


CECETIEETEEEE TT 


10.33.0.0/16 10.33.0.0/16 


R4 AS 400 | 
ER et 
图 7-66 ”优选 Router-ID 最 小 的 设备 通告 的 路 由 


最 终 ，R4 将 优选 Router-ID 最 小 的 对 等 体 通告 过 来 的 路 由 ， 因 此 R2 通告 过 来 的 路 
由 将 被 优选 。 在 R4 上 使 用 display bgp routing-table 10.33.0.0 命令 查看 关于 10.33.0.0/16 
路 由 的 详细 信息 ， 输 出 如 下 : 


<R4>display bgp routing-table 10.33.0.0 





BGP local router ID : 4.4.4.4 
Local AS number : 400 
Paths: ，2 available, 1 best, 1 select 
BGP routing table entry information of 10.33.0.0/16: 
From: 10.1.24.2 (2.2.2.2) #2.2.2.2 为 R2 的 BGP Router-ID 
Route Duration: 00h00m52s 
Direct Out-interface; GigabitEthernet0/0/0 
Original nexthop: 10.1.24.2 
Qos information : Ox0 
AS-path 23, origin igp, MED 1, pref-val 0, valid, external, best, select, active 
;Pre 255 
Advertised to such 2 peers: 
10.1.24.2 : 
10.1.34.3 
“BGP routing table entry information of 10.33.0.0/16: 
From: 10,1.34.3 (3.3.3.3) 
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Route Duration: 00h00m49s 

Direct Out-interface: Seriall/0/0 

Original nexthop: 10.1.34.3 

Qos information : Ox0 

AS-path 23, origin igp, MED 1, pref-val 0, valid, external, pre 255, not preferred for router ID 
Not advertised to any peer yet 


以 R2 通告 过 来 的 路 由 为 例 ， 在 其 显示 的 信息 中 ,“From: 10.1.24.2 (2.2.2.2)” 这 一 行 
中 的 10.1.24.2 为 R2 的 接口 IP 地 址 , 而 2.2.2.2 为 R2 的 Router-ID。 由 于 R2 的 Router-ID 
更 小 ( 相 比 于 R3 的 Router-ID 3.3.3.3)， 因 此 R4 优选 了 R2 通告 过 来 的 路 由 。 

为 外 ,针对 本 条 规则 , 还 有 一 点 需要 补充 , 那 就 是 如 果 路 由 携 市 Originator ID 属性 ， 

; 么 在 本 条 规则 的 比较 过 程 中 该 条 路 由 的 Originator ID 将 代替 Router-ID 参与 计算 。 


7.6.11 案例 11: 优选 具有 最 小 IP 地 址 (Peer 命令 所 指定 的 地 址 ) 的 对 等 
体 通 告 的 路 由 


当 路 由 器 学 习 到 多 条 去 往 相 同 目 的 网 段 的 BGP 路 由 时 ， 在 其 他 条 件 都 相同 的 情况 
下 ，BGP 将 优选 从 具有 最 小 IP 地 址 的 对 等 体 学 来 的 路 由 。 这 里 的 IP 地 址 指 的 是 在 配置 
BGP 对 等 体 时 ， 使 用 peer 命令 所 指定 的 IP 地 址 (对 等 体 的 IP 地 址 )， 而 不 是 对 等 体 的 
Router-1D。 

在 图 7-67 所 示 的 网 络 中 ，R1 及 R2 分 别处 于 AS 100 及 AS 200， 两 者 之 间 存 在 两 条 
互联 链 路 ， 我 们 在 R1 及 R2 之 间 基 于 两 个 直 连 接口 建立 了 两 个 BGP 连接 。 接 着 ，R1 在 
BGP 中 发 布 了 10.52.0.0/16 路 由 , 如 此 一 来 R2 将 从 它 与 R1 之 间 的 两 个 BGP 连接 各 学 习 
到 一 条 10.52.0.0/16 路 由 ，R2 将 在 两 条 路 由 中 进行 优选 。 


GEO00 | | GEoom0 
10.1.11.1/24 | 110.1.11.2/24 









10.52.0.0/16 





| GEO/O/1 | GEFEO/O/ 
| Router-ID 1.1.1.1 10.1.22.1/24 | 10. 1 22 2/24 Router-ID 2.2.2. 2 


we 


图 7-67 优选 从 具有 最 小 IP 地 址 的 对 等 体 学 来 的 路 由 


在 R2 上 使 用 display bgp routing-table 10.52.0.0 命令 查看 关于 该 路 由 的 详细 
县 : 


<R2>display bgp routing-table 10.52.0.0 


mF 


BGP local router ID ; 2.2.2.2 

Local AS number : 200 

Paths: 2 available, 1 best, 1 select 

BG?P routing table entry information of 10.52.0.0/16;: 
From: 10.1.11.1 (1.1.1.1) 

Route Duration: O00h01m22s: 

Direct Out-interface: GigabitEthernet0/0/0 

Original nexthop: 10.1.11.1 

Qos information : Ox0 

AS-path 100, origin igp, MED 0, pref-val 0, valid, external, best, select, active, pre 255 
Advertised to such 2 peers: 
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10.1.11.1 

10.1.22.1 
BGP routing table entry information of 10.52.0.0/16: 
From: 10.1,.22.1(1.1.1.D) 
Route Duration: 00h0lm20s 
Direct Out-interface: GigabitEthernet0/0/] 


AS-path 100, origin igp, MED 0, pref-val 0, a not preferred for peer address 
Not advertised to any peer yet 


在 上 述 输出 中 ， 大 家 能 看 到 R2 分 别 从 自己 与 R1 所 建立 的 两 个 BGP 连接 学 习 到 去 
往 10.52.0.0/16 的 路 由 ， 由 于 这 两 条 路 由 所 有 的 路 径 属性 值 都 相同 ， 而 且 都 是 通告 自 RI 
的 EBGP 路 由 ，R2 无 法 根据 选 路 规则 1 一 10 作出 决策 。 此 时 ， 它 只 能 依赖 规则 11， 由 
于 Rl 用 于 建立 BGP 会 话 的 两 个 地 址 分 别 是 10.1.11.1 及 10.1.22.1， 显然 前 者 要 更 小 ， 
此 最 终 R2 优选 了 与 前 者 建立 的 连接 所 通告 过 来 的 路 由 。 


7.7 习题 


1.〈 单 选 ) 以 下 关于 BGP 路 由 的 接收 及 通告 ， 说 法 错误 的 是 (  ) 
A. Next Hop 不 可 达 的 BGP 路 由 是 无 效 的 ， 这 些 路 由 将 不 会 被 优选 。 
B. 当 一 人 台 路 由 需 发 现 了 多 条 可 到 达 同 一 个 目的 地 的 BGP 路 径 ， 路 由 器 只 会 选 
择 一 条 最 优 的 路 径 来 使 用 ， 而 且 只 0 
C. 当 一 人 台 路 由 器 从 目 己 的 EBGP 对 等 体 学 习 到 BGP 路 由 时 ， 它 会 将 这 些 路 由 


通告 给 IBGP 及 其 他 EBGP 对 等 体 。 
D. 只 有 可 用 的 BGP 路 由 (Next Hop 可 达 的 路 由 ) 才 会 被 加 载 到 设备 的 BGP 
路 由 表 中 。 
2. 〈 单 选 ) 以 下 报 文 用 于 承载 BGP 路 由 信息 的 是 (  ) 
A. Open B. Update C. Notification D. Keepalive 


3. 〈 单 选 ) 如 果 路 由 器 收 到 了 一 条 携带 着 值 为 No-Export-Subconfed 的 Community 
属性 的 BGP 路 由 更 新 ， 那 么 它 将 如 何 操 作 (  ) 
A. 不 能 将 该 路 由 传 出 本 地 AS， 如 果 设 备 处 于 联邦 成 员 AS 内 ， 则 不 能 将 该 路 
由 传 出 本 成 员 AS。 
B. 不 能 将 该 路 由 通告 给 任何 对 等 体 。 
C. 可 以 将 该 路 由 通告 给 EBGP 对 等 体 ， 但 是 不 能 通告 给 联邦 EBGP 对 等 体 。 
D. 可 以 将 该 路 由 通告 给 EBGP 对 等 体 ， 也 可 以 通告 给 联邦 EBGP 对 等 体 。 
4.( 多 选 ) 以 下 关于 BGP 路 径 属 性 的 说 法 ， 错 误 的 是 (  ) 
A. 您 不 能 针对 某 个 对 等 体 施加 出 方 癌 的 Route-Policy， 从 而 为 通告 给 它 的 BGP 
路 由 设置 Preferred Value 属性 。 
B. 一 条 路 由 所 携带 的 Community 属性 只 能 包含 一 个 值 。 
C. 如 果 一 条 BGP 路 由 始 发 于 本 AS 内 ， 该 条 路 由 在 AS 内 被 通告 时 不 携带 
AS Path 属性 。 
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您 不 能 针对 某 个 EBGP 对 等 体 施加 出 方 癌 的 Route-Policy， 从 而 为 通告 给 它 
的 BGP 路 由 设置 Local Preference 属性 。 


(多 选 ) 以 下 关于 BGP 路 由 反射 融 的 说 法 ， 错 误 的 是 〈  ) 


A. 
B. 


4 
D. 


在 部 署 路 由 反射 器 时 ， 客 户 设备 无 需 进 行 特 别 的 配置 。 

如 果 路 由 反射 如 从 目 己 的 非 客 户 对 等 体 学 习 到 一 条 IBGP 路 由 ， 则 它 会 将 该 
路 由 反射 给 所 有 客户 以 及 其 他 非 客 户 对 等 体 。 

角色 为 路 由 反射 器 的 设备 ， 也 可 以 同时 是 其 他 路 由 反射 器 的 客户 。 

携带 着 Originator ID 及 Cluster_ List 属性 的 BGP 路 由 在 被 通告 给 EBGP 对 
等 体 时 ， 这 些 属性 必须 被 保留 ， 否 则 将 可 能 引发 路 由 环 路 。 
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8.1 二 层 交 换 基 础 


简单 地 说 ， 局 域 网 (Local Area Network，LAN) 指 的 是 在 一 个 局 部 的 地 理 范 围 内 ， 
将 个 人 计算 机 、 服 务 器 、 网 络 打 印 机 等 各 种 电子 设备 连接 起 来 的 通信 和 网络 。 从 其 名 称 就 
可 以 看 出 ， 局 域 网 的 地 理 履 盖 范 围 通常 不 会 太 大 。 在 现实 生活 中 ， 局 域 网 可 以 说 是 随处 
可 见 ， 例 如 一 个 公司 的 内 部 网 络 、 一 家 网 吧 的 网 络 、 一 个 家 性 网 络 等 。 目 从 20 世纪 70 
年 代 局 域 网 技术 提出 后 , 出 现 了 各 种 实现 局 域 网 的 技术 , 而 随 着 行业 的 发 展 及 技术 演进 ， 
以 太 网 (Ethernet) 逐渐 占据 了 局 域 网 技术 的 主导 地 位 ， 现 如 今 我 们 在 生活 中 所 见 的 局 域 
网 几乎 均 采 用 以 太 网 技术 实现 。 pp 

在 使 用 以 太 网 技术 实现 的 局 域 网 中 , 以 太 : 
网 二 层 交 换 机 是 非常 重要 及 基础 的 网 络 设备 ， “服务 器 力 ee 网 络 打 印 机 
使 用 一 台 以 太 网 交换 机 即 可 将 网 络 中 的 个 人 : 
计算 机 、 服 务 器 以 及 网 络 打印 机 等 电子 设备 连 
接 起 来 并 且 实现 相互 通信 ， 如 图 8-1 所 示 。 在 
本 书后 续 的 内 容 中 ， 如 无 特别 说 明 ， 交 换 机 都 
指 以 太 网 交换 机 。 

交换 机 通常 以 两 种 形态 呈现 : 二 层 交 换 机 
和 三 层 交 换 机 。 二 层 交 换 机 指 的 是 只 具备 二 层 交 换 (Layer 2 Switching ) 功能 的 交换 设备 。 
三 层 交 换 机 除了 具备 二 层 交 换 机 的 功能 ， 还 具备 三 层 路 由 和 三 层 数据 转发 功能 。 所 谓 二 
层 交 换 ， 指 的 是 根据 数据 链 路 层 信息 对 数据 进行 转发 的 行为 ， 此 处 的 数据 链 路 层 指 的 是 
TCP/IP 对 等 模型 中 的 第 二 层 。 

在 网 络 通信 领域 中 ，OSI 模型 (Open System Interconnection Reference Model， 开 放 
系统 互联 参考 模型 ) 及 TCP/IP 模型 都 被 大 家 所 熟知 ， 这 些 参考 模型 的 出 现 ， 极 大 地 推动 
了 网 络 技术 的 发 展 。TCP/P 模型 存在 两 个 不 同 的 版 本 ， 它 们 分 别 是 TCP/IP 标准 模型 及 
TCP/IP 对 等 模型 。 图 8-2 展示 了 OSI 参考 模型 和 TCP/IP 对 等 模型 、TCP/IP 标准 模型 的 
比较 ,现实 中 ,TCP/IP 对 等 模型 的 使 用 最 为 广泛 ,因此 在 本 书后 续 的 内 容 中 将 使 用 TCP/IP 
对 等 模型 来 帮助 大 家 理解 数据 的 处 理 过 程 。 


以 太 网 二 层 交 换 机 





计算 机 
图 8-1 一 个 简单 的 局 域 网 





OSI 模型 TCPI/P 对 等 模型 TCP/TP 标准 模型 
图 8-2 OSI 模型、TCP/IP 对 等 模型 以 及 TCP/IP 标准 模型 


在 图 8-3 中 ， 当 PC1 要 发 送 一 份 数据 给 PC2 时 ，PC1 的 应 用 层 协 议会 产生 应 用 数据 
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《 即 有 效 载 向 )， 而 数据 网 络 的 基本 功能 就 是 要 将 这 份 数 据 传 输 到 目的 设备 PC2。 当 然 这 
些 数据 不 可 能 被 直接 扔 到 网 络 中 进行 传输 ，PC1 还 需要 对 其 进行 层 层 封装 ， 这 就 像 邮寄 
一 封 信件 时 ， 你 不 可 能 直接 将 信件 交付 给 邮局 ， 而 要 先 将 其 放 入 一 个 信封 ， 在 信封 上 填 
写 相 应 的 信息 ， 例 如 寄 件 人 、 收 件 人 及 地 址 信息 等 ， 再 将 封装 好 的 信件 交 给 邮局 ， 邮 局 
则 根据 信封 上 的 收 件 人 及 地 址 来 进行 信件 的 传递 。 以 HTTP 会 话 为 例 ， 数 据 发 送 方 PC1 
的 HTTP 会 产生 应 用 数据 载荷 ， 在 传输 层 (Transport Layer) 这 些 数据 载荷 会 被 封装 一 个 
TCP 的 头 部 ， 接 痢 在 网 络 层 (Network Layer) 再 被 封装 一 个 IP 的 包头 ， 随 后 在 数据 链 
路 层 (Data Link Layer) 则 再 被 封装 一 个 数据 帧 头 部 ， 在 以 太 网 中 ， 该 头 部 便 是 以 太 网 
帧 头 〈 由 于 数据 链 路 层 位 于 TCP/IP 对 等 模型 的 第 二 层 , 因此 数据 链 路 层 的 头 部 也 被 称 为 
二 层 头 部 )， 最 后 ， 完 成 封装 的 数据 以 电信 和 号 的 方式 通过 网 线 传 输 到 链 路 对 端 。 由 于 PC1 
连接 看 一 台 交 换 机 ， 当 交换 机 从 接口 上 接收 到 这 些 电 信号 时 ， 首 先 会 将 它们 还 原 成 数据 
帧 ， 然 后 会 检查 数据 帧 的 完整 性 ， 并 根据 帧 头 中 的 目的 MAC 地 址 (Media Access Control 
Address) 来 转发 该 数据 帧 。 每 台 二 层 交 换 机 都 维护 着 一 个 MAC 地 址 表 (MAC Address 
Table)， 交 换 机 在 转发 数据 帧 时 ， 会 在 MAC 地 址 表 中 查询 该 数据 帧 的 目的 MAC 地 址 ， 
以 便 决 定 将 其 从 哪 一 个 接口 发 送出 去 。 由 于 此 时 交换 机 是 根据 数据 的 二 层 头 部 中 的 信息 
来 进行 转发 操作 的 ， 因 此 这 种 行为 又 被 称 为 二 层 交 换 。 在 本 例 中 ， 交 换 机 在 其 MAC 地 
址 表 中 碍 询 到 匹配 数据 帧 目的 MAC 地 址 的 表 项 后 ， 将 数据 帧 转发 给 PC2， 后 者 收 到 数 
据 帧 后 ， 将 其 进行 层 层 解 封装 ， 最 终 得 到 HTTP 载荷 。 





图 8-3 ”以 太 网 二 层 交 换 


学 习 完 本 节 之 后 ， 我 们 应 该 能 够 : 

。 理解 MAC 地 址 的 基本 概念 及 用 途 ; 
e。 熟悉 以 太 网 数据 帧 结构 ; 

。 学 会 查看 MAC 地 址 表 ; 

。 理解 二 层 交 换 的 基本 工作 原理 。 


8.1.1 MAC 地 址 
众所周知 ， 网 络 层 是 TCP/IP 对 等 模型 的 第 三 层 ， 它 最 基本 的 功能 是 将 数据 包 从 源 
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转发 到 目的 地 ， 为 了 实现 数据 包 的 转发 ， 以 及 在 数据 网 络 中 定位 设备 ， 网 络 层 定义 了 软 
辑 地 址 ， 对 于 卫 协议 来 说 ， 这 个 地 址 就 是 IP 地 址 。 源 设备 在 其 发 送 的 数据 包 的 IP 头 部 
中 写 入 源 、 目 的 了 PP 地址 ， 这 样 一 来 这 个 数据 包 被 送 入 网 络 后 ， 就 能 够 被 正确 地 转发 到 目 
的 卫 地 址 所 定位 的 设备 。 当 然 ， 实 际 上 这 个 数据 包 从 源 被 转发 到 目的 地 的 过 程 中 ， 可 能 
罕 越 了 多 段 链 路 ， 为 了 保证 数据 能 够 从 链 路 的 一 端 传递 到 另 一 端 ， 还 需要 额外 的 信息 。 

数据 链 路 层 是 TCP/IP 对 等 模型 中 的 第 二 层 ， 位 于 网 络 层 和 物理 层 之 间 ， 它 最 基本 
的 功能 是 将 源 设 备 的 网 络 层 下 发 的 数据 传输 到 链 路 上 的 目的 相 邻 设备 。 当 然 ， 为 了 保证 
数据 能 够 准确 地 送 达 目的 相 邻 设备 ， 还 需要 借助 一 个 第 二 层 的 地 址 。 以 太 网 是 最 种 见 的 
数据 链 路 层 技 术 之 一 ， 在 以 太 网 中 ，MAC 地 址 用 于 定位 设备 ， 也 被 用 于 第 二 层 的 数据 
寻 址 .MAC 地址 是 在 IEEE 802 标准 中 定义 的 , 符合 IEEE 802 标准 的 接口 必须 拥有 有 MAC 
地 址 。 以 太 网 标准 是 IEEE 802 的 一 个 子 集 ， 因 此 每 一 个 以 太 网 接口 都 必须 拥有 MAC 地 
址 ， 例 如 电脑 的 以 太 网 接口 ， 或 者 路 由 器 的 以 太 网 接口 等 ， 这 里 所 说 的 MAC 地 址 指 的 
是 单 播 MAC 地 址 。 实 际 上 ，MAC 地 址 与 IP 地 址 类 似 ， 也 有 单 播 、 组 播 及 广播 类 型 之 
分 。MAC 地 址 的 长 度 为 48bit， 通 常 采 用 十 六 进 制 的 格式 来 呈现 ， 例 如 0025-9ef8-9e7d 
(也 可 表示 成 00-25-9e-f8-9e-7d)。 

正如 上 文 所 说 ，MAC 地 址 分 为 三 种 ,分别 是 单 播 MAC 地址、 组 播 MAC 地 址 以 及 
广播 MAC 地 址 : 

。 单 播 MAC 地 址 用 于 唯一 地 标识 一 台 设 备 的 某 个 接口 ， 这 种 MAC 地 址 第 1 个 字 
节 的 最 低 比特 位 为 0， 如 图 8-4 所 示 。 单 播 MAC 地 址 通常 也 被 称 为 硬件 地 址 ， 因 为 它 往 
往 是 被 烧 录 在 以 太 网 网 卡 上 的 。 每 一 个 单 播 MAC 地 址 都 具有 全 球 唯 一 性 ， 厂 商 在 生产 
以 太 网 接口 卡 (网 卡 ) 之 前 ， 必 须 先 得 到 24bit 的 组 织 唯一 标识 (Organizationally Unique 
Identiffer，OUI)7， 而 OUI 是 通过 向 IEEE (Institute of Electrical and Electronics Engineers， 
电气 和 电子 工程 师 学 会 ) 注册 得 到 的 。 三 商 在 生产 网 卡 时 ， 将 OUI 作为 MAC 地 址 的 前 
面 24bit， 而 MAC 地 址 的 后 24bit 则 由 厂商 目 己 指定 。 当 主机 ( 注 : 此 处 所 说 的 主机 ， 
是 指 终端 PC 或 路 由 器 等 ， 但 不 包括 二 层 交 换 机 ) 的 网 卡 接口 收 到 一 个 数据 帧 时 ， 若 该 
数据 帧 的 目的 MAC 地 址 为 单 播 MAC 地 址 ， 并 且 这 个 MAC 地 址 与 该 网 卡 接 口 本 身 的 
MAC 地 址 不 相同 时 ， 网 卡 会 丢弃 这 个 数据 帧 。 


0025-9ef8-9e7d 










- 一 ' FINE 
第 6 个 字 节 
0000000 | ooo0101 | 100ll0 | mimooo | onto | outol | 


第 1 个 字 节 最 低 比 特 
图 8-4 单 播 MAC 地 址 


。 组 播 MAC 地 址 标识 了 一 组 设备 ， 这 种 MAC 地 址 第 1 个 字 节 的 最 低 比 特 位 为 1， 
例如 0100-5e-00ab。 一 个 组 播 MAC 地 址 所 标识 的 一 组 设备 有 着 共同 的 特点 ， 那 就 是 它 
们 都 加 入 了 相同 的 组 播 组 ， 这 些 设备 将 会 侦 听 目的 MAC 地 址 为 该 组 播 MAC 地 址 的 数 
据 帧 。 本 书 将 在 “组 播 ” 一 章 中 详细 介绍 这 种 类 型 的 MAC 地 址 。 只 有 单 播 MAC 地 址 
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才能 够 被 分 配给 一 个 以 太 网 接口 ， 组 播 或 广播 MAC 地 址 是 不 能 被 分 配给 任何 一 个 以 太 
网 接口 的 ， 换 句 话 说， 这 两 种 类 型 的 MAC 地 址 不 能 作为 数据 帧 的 源 MAC 地 址 ， 而 只 
能 作为 目的 MAC 地 址 。 

e。 广播 MAC 地 址 的 所 有 比特 位 全 都 是 1 (因此 广播 MAC 地 址 就 是 ffff-ffff-ffff)， 
这 种 MAC 地 址 标识 了 所 有 的 以 太 网 接口 。 因 此 当 一 个 数据 帧 的 目的 MAC 地 址 为 
ffff-ffff-ffff， 那 么 这 就 是 一 个 广播 数据 帧 ， 所 有 收 到 该 数据 帧 的 网 卡 都 要 处 理 它 。 


8.1.2 ”以 太 网 数据 帧 


一 个 IP 数据 包 要 想 在 以 太 网 链 路 上 传输 , 就 需要 增加 以 太 网 的 封装 ， 从 而 形成 一 个 
以 太 网 帆 (Ethernet Frame)。 以 太 网 帧 的 格式 有 两 种 标准 ， 一 个 是 IEEE 802.3 格式 ， 男 
一 个 是 Ethernet I 格式， 如 图 8-5 所 示 。 


Ethernet || 格式 : 
目的 MAC 地 址 源 MAC 地 址 类 型 载荷 数据 CRC 
(6byte) (6byte) (2byte) |(46 一 1500byte)| (4byte) 
IEEE802.3 格式 : 


目的 MAC 地 址 源 MAC 地 址 长 度 LLC SNAP 载荷 数据 CRC 
(6byte) (6byte) (2byte) | (3byte) (Sbyte) (38 一 1492byte)| (4byte) 


lbyte lbyte lbyte 3byte 2byte 


图 8-5 以太 网 数据 帧 格式 


目前 的 网 络 设备 及 网 卡 兼容 IEEE 802.3 及 Ethernet II 两 种 格式 的 以 太 网 帧 ， 但 是 在 
现实 网 络 中 ， 大 多 数 的 以 太 网 帧 使 用 Ethernet I 格式， 因此 本 节 主 要 探讨 Ethernet II 格 
式 的 以 太 网 帧 。Ethernet 开 格 式 的 以 太 网 帧 中 各 个 字段 的 摘 述 如 下 : 

e。 目的 MAC 地 址 (Destination MAC Address): 标识 了 该 数据 帧 的 接收 者 。 目 的 
MAC 地 址 可 以 是 单 播 MAC 地 址 、 组 播 MAC 地 址 或 者 广播 MAC 地 址 。 

。 源 MAC 地 址 (Source MAC Address): 标识 了 该 数据 帧 的 发 送 者 。 源 MAC 地 址 
只 能 是 单 播 MAC 地 址 。 

。 类 型 (Type): 用 来 标识 该 数据 帧 头 部 后 所 封装 的 上 层 协 议 类 型 〈 载 何 数 据 的 类 
型 )。 该 数据 帧 的 接收 方 通 过 这 个 字段 得 知 载荷 数据 是 什么 类 型 的 数据 。 例 如 ， 如 果 类 型 
字段 值 为 0x0800， 则 表示 载荷 数据 是 IPv4 报 文 ; 如果 类 型 字段 值 为 0x86dd， 则 表示 载 
荷 数据 是 IPv6 报 文 。 

。 载 谷 数据 (Payload): 载 倚 数据 ， 其 长 度 为 46 一 1500byte。 

。 CRC (Cyclic Redundancy Check): 循环 元 余 校 验 字 段 ， 用 于 检测 数据 帧 在 传输 
过 程 中 是 否 发 生 损坏 。 


8.1.3 MAC 地 址 表 
MAC 地 址 表 是 交换 机 能 够 正常 工作 的 重要 依据 ， 它 相当 于 交换 机 保存 的 一 张 “ 地 
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图 ”。MAC 地 址 表 中 的 每 一 个 表 项 都 包含 看 MAC 地 址 、VLAN-ID 以 及 交换 机 接口 等 信 
上 县。 在 图 8-6 所 示 的 网 络 中 ， 交 换 机 SW 连接 大 两 台 PC。 初 始 情况 下 ，SW 的 MAC 地 
址 表 是 空 的 ， 当 它 的 某 个 接口 收 到 一 份 数据 帧 时 ， 它 会 将 该 数据 帧 的 源 MAC 地 址 学 习 
到 MAC 地 址 表 中 ， 并 且 与 收 到 该 帧 的 接口 以 及 该 接口 所 加 入 的 VLAN 进行 关联 ， 从 而 
形成 一 个 表 项 。 通 过 查看 交换 机 的 MAC 地 址 表 ， 能 非常 直观 地 看 出 哪 一 台 设 备 连接 在 
交换 机 的 哪个 接口 。 





PC1 PC2 
MAC 地 址 : 0021-ccc9-dc01 MAC 地 址 : 0021-ccc9-bb02 
SW 的 MAC 地 址 表 


ana 
Ueda | 10 | Gao 





Gp-eeed bol | 10 | Guo 


图 8-6 ”交换 机 的 MAC 地址 表 


当 PC1 及 PC2 开始 在 网 络 中 发 送 数据 时 ，SW 便 能 够 学 到 两 者 的 MAC 地 址 并 且 在 
MAC 地 址 表 中 形成 相应 的 表 项 。 交 换 机 在 接收 数据 帧 时 ， 通 过 检查 数据 帧 从 而 目 动 学 
习 到 的 MAC 地 址 表 项 是 动态 表 项 , 在 MAC 地 址 表 中 ， 这 些 表 项 的 类 型 为 Dynamic ( 动 
态 )。 动态 的 MAC 地 址 表 项 是 存在 老化 时 间 的 。 在 初始 情况 下 ， 当 PC1 发 送 的 数据 帧 到 
达 SW 的 GE0/0/1 接口 时 ，SW 学 习 PC1 的 MAC 地 址 并 且 与 GE0/0/1 接口 进行 关联 ， 
从 而 形成 一 个 MAC 地 址 表 项 ， 与 此 同时 ，SW 为 这 个 表 项 启动 一 个 计时 器 ， 这 个 计时 
锋 从 缺 省 300s 开始 倒计时 , 当 PC1 的 下 一 个 数据 帧 到 达 SW 的 GE0/0/1 接口 时 ,该 MAC 
地 址 表 项 被 刷新 ， 计 时 右 复 位 并 重新 开始 倒计时 。 如 果 SW 一 直 没 有 收 到 PC1 发 送 的 新 
数据 ， 并 且 该 计时 器 计数 到 0 时 ， 这 个 MAC 地 址 表 项 将 被 删除 。 这 个 机 制 使 得 交换 机 
的 MAC 地 址 表 不 至 于 被 大 量 陈旧 的 、 无 用 的 表 项 填充 ， 毕 竟 该 数据 表 的 存储 空间 是 有 
限 的 。 除 了 动态 的 MAC 地 址 表 项 之 外 ， 我 们 还 能 为 交换 机 添加 静态 的 表 项 ， 静 态 表 项 

` 会 被 老化 。 

MAC 地 址 表 最 重要 的 作用 是 作为 交换 机 进行 数据 帧 转发 的 依据 。 


8.1.4 ”二 层 交 换 的 工作 原理 


当 区 换 机 在 共 个 接口 上 收 到 一 个 单 播 数据 帧 时 ， 它 将 首先 读 取 数据 帧 的 目的 MAC 
地 址 ， 并 且 在 目 己 的 MAC 地 址 表 中 查询 该 地 址 ， 如 果 查 询 不 到 匹配 的 表 项 ， 则 将 该 数 
据 帧 进行 泛 洪 Flooding)， 所 谓 的 泛 洪 是 指 将 数据 帧 从 除了 收 到 该 帧 的 接口 之 外 的 所 有 
接口 都 发 送 一 份 拷贝 。 如 果 能 够 在 MAC 地 址 表 中 找到 匹配 的 表 项 ， 并 且 收 到 该 帧 的 接 


第 8 章 ”以 太 网 交换 377 


口 与 该 表 项 中 对 应 的 接口 不 同时 ， 则 将 数据 帧 从 该 表 项 中 对 应 的 接口 转发 出 去 ， 如 果 收 
到 该 帧 的 接口 与 该 表 项 中 对 应 的 接口 相同 时 ， 则 丢弃 该 数据 帧 。 

此 外 ， 当 交换 机 收 到 一 个 数据 帧 时 ， 它 还 会 读 取 数 据 帧 的 源 MAC 地 址 ， 如 果 该 地 
址 在 MAC 地 址 表 中 并 不 存在 相关 表 项 ， 则 交换 机 将 创建 一 个 MAC 地 址 表 项 ， 并 将 该 
MAC 地 址 及 收 到 该 数据 帧 的 接口 记录 在 该 表 项 中 , 这 就 是 交换 机 的 MAC 地 址 学 习 功 能 。 

以 图 8-7 为 例 ， 初 始 情况 下 ， 交 换 机 的 MAC 地 址 表 为 室 ， 现 在 来 看 看 当 PC1 发 送 
一 个 数据 帧 给 PC3 时 ， 交 换 机 的 帧 转发 行为 。 


SW 





GEO/0/1 he GEO/0/3 


> 
~—S 







GE0O/0/2 


[a 


PC2 
IP 地 址 :192.168.1.2 
MAC 地 址 :0021-ccc9-bb02 


IP 地 址 :192.168.1.1 
MAC 地 址 :0021-ccc9-dc01 


PP 地 址 :192.168.1.3 
MAC 地 址 :0021-ccc9-00aa 


SW 的 MAC 地 址 表 





8-7 ”初始 情况 下 ，SW 的 MAC 地址 表 为 空 


(1) PC1 构造 IP 数据 包 ,IP 头 部 里 的 源 耻 地 址 为 本 地 IP 地 址 192.168.1.1, 目的 了 P 
地 址 为 192.168.1.3。 上 述 IP 数据 包 要 在 以 太 网 环境 中 传输 ， 还 需要 封装 一 个 以 太 网 的 帧 
头 。 在 帧 头 中 源 MAC 地 址 为 0021-ccc9-dc01， 目 的 MAC 地 址 为 0021-ccc9-00aa (这 里 
姑且 忽略 ARP 解析 过 程 ， 假 设 PC1 已 经 知晓 了 PC3 的 MAC 地 址 )。PC1 将 该 数据 帧 

(2) 交换 机 SW 收 到 这 个 数据 帧 后 ， 首 先 借助 数据 帧 尾部 的 CRC 字段 进行 差错 校 
验 ， 确 保 该 数据 巾 在 传输 过 程 中 没有 被 损坏 。 接 下 来 交换 机 读 取 数据 帧 的 目的 MAC 地 
址 ， 并 且 在 其 MAC 地 址 表 中 查询 该 地 址 ， 绪 果 发 现 并 不 存在 匹配 的 表 项 ， 于 是 它 将 这 
个 数据 帧 进行 泛 洪 ， 如 图 8-8 所 示 。 泛 洪 的 直接 结果 是 ， 除 了 GE0/0/1 接口 外 ， 交 换 机 
其 他 的 所 有 接口 (相同 VLAN 内 的 接口 ) 所 连接 的 设备 都 将 会 收 到 该 数据 帧 的 拷贝 。 然 
后 SW 还 会 进行 源 MAC 地 址 的 学 习 , 它 发 现 数据 帧 的 源 MAC 地 址 在 MAC 地 址 表 中 并 
不 存在 ， 因 此 SW 为 该 MAC 地 址 创建 一 个 新 的 MAC 地 址 表 项 ， 由 于 这 个 数据 帧 是 在 
接口 GE0/0/1 上 接收 ， 因 此 MAC 地 址 0021-ccc9-dc01 与 接口 GEO/OV1 形成 关联 。 

(3) PC2 收 到 交换 机 转发 的 数据 帧 后 ， 发 现 该 帧 的 目的 MAC 地 址 与 自己 的 网 卡 接 
口 MAC 地 址 并 不 相同 ， 因 此 它 丢 弃 这 个 数据 帧 。 而 PC3 则 会 接收 这 个 数据 帧 ， 并 且 对 
数据 帧 进行 解 封装 。 

(4) 现在 ，PC3 要 回复 一 份 数据 给 PC1， 它 将 数据 封装 成 帧 后 ， 从 网 卡 接口 发 出 。 
该 帆 的 源 MAC 地 址 为 0021-ccc9-00aa， 目 的 MAC 地 址 为 0021-ccc9-dc01，SW 在 其 
GE0/0/3 接口 上 收 到 这 个 帆 。 首 先 它 读 取 数据 巾 的 目的 MAC 地址 ， 并 且 在 其 MAC 地 址 
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表 中 查询 该 地 址 ， 它 将 在 表 中 查询 到 一 个 匹配 的 表 项 ， 而 且 该 表 项 的 出 接口 为 GE0/0/1， 
于 是 它 将 这 个 数据 帧 从 GE0/0/1 接口 转发 出 去 。 然 后 SW 将 数据 帧 的 源 MAC 地 址 学 习 
到 MAC 地 址 表 中 ， 如 图 8-9 所 示 。 






GEO/0/3 
~—S 





PC1 


PC3 
IP 地 址 :192.168.1.1 IP 地 址 :192.168.1.3 
MAC 地 址 :0021-ccc9-dc01 a MAC 地 址 :0021-ccc9-00aa 


PC2 
IP 地 址 :192.168.1.2 
MAC 地 址 :0021-ccc9-bb02 


SW 的 MAC 地 址 表 


TI 
0021-ccc9-dc01 | | GEO/0/1 







图 8-8 ”SW 学 习 数 据 帧 的 源 MAC 地 址 





z GE0/0/3 
PC1 GE0/0/2 PC3 
IP 地 址 :192.168.1.1 IP 地 址 :192.168.1.3 
MAC 地 址 :0021-ccc9-dc01 MAC 地 址 :0021-ccc9-00aa 
PC2 


IP 地 址 :192.168.1.2 
MAC 地 址 :0021-ccc9-bb02 


SW 的 MAC 地 址 表 
mena vA ror | vm 
oresieor | 0 | Gunn | yamie 
EEC 


图 8-9 PC3 回 送 一 个 数据 帧 给 PC1 


上 述 束 是 典型 的 二 层 交 换 机 制 。 实 际 上 对 于 二 层 交 换 的 过 程 来 说 ， 数 据 帧 从 进入 交 
换 机 ， 到 其 被 交换 机 从 某 个 接口 转发 出 去 ， 通 常 是 没有 任何 改变 的 〈 插 入 802.1Q Tag 的 
情况 除外 ， 本 书 将 在 “VLAN” 一 节 中 介绍 802.1Q Tag 的 概念 )， 因 此 我 们 通常 将 二 层 交 
换 机 的 帧 交换 操作 称 为 “ 透 传 ” 









在 本 节 所 展示 的 案例 中 ， 初 始 时 如 果 了 PC1 并 不 知道 PC3 的 卫 地 址 对 应 的 MAC 
地 址 ， 那 么 它 将 向 网 络 中 发 送 一 个 广播 的 ARP Request 数据 帧 ， 用 于 请 求 对 方 的 MAC 
地 址 。 这 个 广播 帧 将 会 被 SW 进行 泛 洪 。PC2 收 到 该 帧 后 需 首 先 将 数据 帧 解 封 装 ， 然 后 
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将 里 面 的 ARP 载荷 上 交 ARP 协议 模块 去 处 理 , 当 该 协议 模块 发 现 该 ARP 请 求 并 非 发 给 
自己 时 ，PC2 将 忽略 该 ARP 请 求 。 而 PC3 收 到 该 ARP Request 数据 帧 后 ， 会 使 用 一 个 
单 播 的 ARP Reply 数据 帧 进行 回应 ， 如 此 一 来 ，PC1 便 获 知 了 PC3 的 IP 地 址 对 应 的 
MAC 地 址 。 


当 交 换 机 收 到 一 个 广播 数据 帧 〈 目 的 MAC 地 址 为 fEEE-ffff-ffff) 时 ， 交 换 机 不 会 进 
行 目 的 MAC 地 址 查询 ， 而 是 直接 将 其 进行 泛 洪 。 

当 交 换 机 收 到 一 个 组 播 数据 帧 时 〈 组 播 数据 帧 指 的 是 目的 MAC 地 址 为 组 播 MAC 
地 址 的 数据 帧 ， 本 书 将 在 “组 播 ” 一 章 中 介绍 相关 的 概念 )， 缺 省 情况 下 ， 交 换 机 会 对 其 
进行 泛 洪 处 理 ， 但 是 如 果 交 换 机 部 署 了 诸如 IGMP Snooping 这 样 的 二 层 组 播 技术 ， 和 那么 
组 播 数据 帧 将 只 会 被 交换 机 从 特定 的 一 些 接 口 转发 出 去 。 


8.2 VLAN 


8.2.1 VLAN 的 概念 及 意义 


对 于 一 人 台 交 换 机 而 言 ， 缺 省 情况 下 它 的 所 有 接口 都 属于 同一 个 广播 域 (Broadcast 
Domain)， 所 谓 广 播 域 指 的 是 一 个 广播 数据 所 能 到 达 的 范围 。 当 多 台 主 机 连接 到 同一 全 
交换 机 时 ， 它 们 可 以 直接 进行 通信 (只 需 配 置 相同 网 段 的 IP 地 址 )， 而 且 无 需 借助 路 由 
设备 ， 这 种 通信 行为 被 称 为 二 层 通 信 。 由 于 这 些 主机 都 属于 同一 个 广播 域 ， 因 此 当 其 中 
一 台 主 机 发 出 一 份 广播 数据 时 ， 连 接 在 交换 机 上 的 其 他 所 有 主机 都 会 收 到 这 份 数 据 的 拷 
贝 ， 当 然 ， 如 果 交 换 机 在 某 个 接口 上 收 到 目的 MAC 地 址 未 知 的 单 播 数据 帧 时 ， 会 将 这 
个 数据 帧 进行 泛 洪 ， 如 图 8-10 所 示 。 然 而 并 非 所 有 的 主机 都 需要 这 些 数据 帧 ， 此 时 对 于 
它们 而 言 , 这 些 广播 帧 或 者 目的 MAC 地 址 未 知 的 单 播 帧 实际 上 是 增加 了 设备 性 能 损耗 ， 
而 且 对 网 络 市 宽 而 言 也 是 一 种 浪费 。 设 想 一 下 ， 如 果 存 在 一 个 由 许多 二 层 交 换 机 构成 的 
大 型 二 层 网 络 ， 那 么 在 这 个 大 规模 的 广播 域 中 ， 一 旦 出 现 广播 帧 或 目的 MAC 地 址 未 知 
的 单 播 帧 便 将 引发 大 量 的 泛 洪 现象 ， 从 而 给 网 络 带 来 沉重 的 负担 ， 如 图 8-11 所 示 。 





PC 1 PC2 PC3 POG23 PC24 
192.168.1.1 192.168.1.2 192.168.1.3 192.168.2.23 192.168.2.24 


图 8-10 缺 省 情况 下 ， 交 换 机 的 所 有 接口 属于 同一 个 广播 域 


为 外 ， 实 际 的 网 络 中 经 常 存在 这 样 的 需求 :连接 在 同一 个 交换 机 上 的 主机 有 可 能 属 
于 不 同 的 业务 部 门 ， 用 户 希 望 对 它们 进行 隔离 或 者 以 独立 的 网 络 单 元 、 独 立 的 广播 域 进 
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行 管理 , 那么 网 络 中 就 迫切 地 需要 一 种 技术 , 一 种 能 够 在 交换 机 上 实现 二 层 隔 离 的 技术 ， 
奋 则 网 络 管理 员 就 不 得 不 为 个 同 的 业务 部 门 分 配 不 同 的 交换 机 ， 并 且 措 配 其 他 设备 从 而 
实现 二 层 隔 离 。 








> 





-a 
ww Cc 
~ 
= 
< 
“yy 
广播 帧 
= 


图 8-11 一 个 大 规模 的 二 层 广播 域 


综 上 ， 当 我 们 规划 一 个 网 络 时 ， 应 该 始终 关注 网 络 中 广播 域 的 大 小 ， 采 用 适当 的 技 
术 将 一 个 大 的 广播 域 切 割 成 更 小 的 单元 。 当 然 ， 您 可 能 已 经 想到 ， 可 以 使 用 路 由 器 来 实 
现 这 个 目的 ， 如 图 8-12 所 示 。 路 由 器 的 每 个 三 层 接口 连接 大 一 个 独立 的 广播 域 。 因 此 在 
网 络 中 部 闭路 由 需 确 实 可 以 起 到 隅 绝 广 播 的 作用 ， 毕 竟 一 个 广播 数据 缺 省 时 会 被 终结 在 
路 由 器 的 三 层 接 口上 ,不 会 被 透 传 。 然 而 路 由 器 接口 资源 相 比 于 交换 机 更 为 有 限 ， 再 者 ， 
为 什么 不 能 和 直接 在 交换 机 上 实现 广播 域 的 隔离 或 划分 呢 ? 





. 
EE 


图 8-12 路 由 器 能 够 隔绝 广播 域 


VLAN (Virtual Local Area Network， 虚 拟 局 域 网 ) 就 是 这 样 一 个 技术 ， 它 能 够 将 一 
个 物理 的 LAN 在 逻辑 上 划分 成 多 个 广播 域 。 如 图 8-13 所 示 ， 交 换 机 创建 了 两 个 VLAN， 
这 两 个 VLAN 各 有 一 个 DD (标识 符 )， 它 们 分 别 是 10 和 20。 现在 我 们 将 交换 机 的 GE0/0/1、 
GE0/0/2 以 及 GE0/0/3 接口 加 入 VLAN10， 而 GE0/0/23 及 GE0/0/24 接口 加 入 VLAN20。 
如 此 一 来 ， 网 络 中 原先 存在 的 一 个 广播 域 被 切割 成 两 个 小 的 并 且 独 立 的 广播 域 。 关 于 在 
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交换 机 上 将 接口 加 入 特定 的 VLAN 这 一 操作 ， 也 被 称 为 基于 接口 的 VLAN 划分 ， 所 谓 
VLAN 划分 其 实 就 是 将 用 户 〈 或 用 户 发 出 的 数据 ) 与 特定 的 VLAN 进行 关联 的 操作 。 
VLAN 划分 的 方式 有 多 种 ， 上 面 所 举 的 例子 是 基于 交换 机 的 接口 来 划分 VLAN 的 ， 这 是 
一 种 比较 常用 的 方式 ， 除 此 之 外 还 有 基于 MAC 地 址 、IP 网 段 、 协 议 类 型 及 策略 等 方式 。 
若 在 交换 机 上 基于 MAC 地 址 来 划分 VYLAN， 那 么 可 以 指定 MAC 地 址 与 VLAN 的 对 应 
关系 ,例如 将 MAC-1 映射 到 VLAN30, 则 当 拥 有 MAC-1 这 个 地 址 的 PC 接 入 交换 机 时 ， 
它 所 发 送 的 数据 会 被 自动 关联 到 VLAN30, 不 管 这 台 PC 是 从 交换 机 的 哪 一 个 接口 接 入 。 

一 个 VLAN 就 是 一 个 广播 域 ， 同 属 一 个 VLAN 的 设备 之 间 依 然 是 能 够 直接 进行 二 
层 通信 的 ， 数 据 的 泛 洪 也 被 限制 在 VLAN 内 ， 因 此 在 图 8-13 中 ，PC1、PC2 以 及 PC3 
可 以 进行 二 层 通信 ， 并 且 其 中 一 台 PC 发 送出 来 的 广播 数据 ， 会 被 泛 洪 给 其 他 两 台 PC， 
当然 ， 如 果 交 换 机 收 到 某 台 PC 发 送出 来 的 单 播 数 据 帧 并 且 并 不 知晓 目的 MAC 地 址 时 ， 
它 会 在 所 有 属于 该 VLAN 的 接口 上 泛 洪 这 个 数据 帧 。 需 要 特别 强调 的 是 ,不 同 的 VLAN 
之 间 无 法 进行 二 层 通信 。 





PC23 PC24 


: PP c PC3 
; 192.168.1.1 192.168.1.2 192.168.1.3 : : 192.168.2.1 192 168. 22: : 
: VLANI10 E l VLAN20 
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ii 


图 8-13 ”使 用 VLAN 技术 在 网 络 中 实现 广播 域 的 隔离 


PC1 从 网 卡 发 出 一 个 广播 数据 帧 ， 如 图 8-14 所 示 。 这 个 数据 帧 到 达 交 换 机 后 ， 交 换 
机 发 现 这 是 一 个 来 自 VLAN10 (该 帧 在 GE0/0/1 接口 上 收 到 ， 而 该 接口 加 入 了 VLAN10) 
的 广播 数据 帧 ， 因 此 它 将 该 数据 帧 从 所 有 加 入 VLAN10 的 接口 泛 洪 出 去 ， 最 后 PC2 
及 PC3 都 会 收 到 这 份 数据 , 然而 处 于 VLAN20 的 PC23 及 PC24 是 不 会 收 到 这 个 广播 
帧 的 。 





: PC PC2 PC3 i : PC23 PC24 | 
: 192.168.1.1 192.168.12 192.16813 | : 192.16821 19216822: 
: VLAN10 i : VLAN20 
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图 8-14 广播 被 限制 在 VLAN 内 
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再 看 男 一 个 例子 ， 假 设 PC23 发 送 一 个 单 播 数 据 帧 给 PC24《〈 假 设 此 时 PC23 已 经 知 
道 PC24 的 MAC 地 址 )， 交 换 机 收 到 这 个 数据 帧 并 且 发 现 这 是 一 个 单 播 数据 帧 ， 因 此 它 
在 MAC 地 址 表 中 查询 数据 帧 的 目的 MAC 地 址 ， 而 且 它 只 会 查询 那些 与 VLAN20 关联 
的 表 项 (MAC 地 址 表 中 的 每 个 表 项 将 MAC 地 址 、VLAN-ID、 接 口 等 信息 进行 绑 定 )， 
如 果 交 换 机 查询 不 到 与 目的 MAC 地 址 匹配 的 表 项 ， 它 会 把 这 个 数据 帧 从 所 有 加 入 
VLAN20 的 接口 泛 洪 出 去 ， 因 此 PC24 会 收 到 这 个 帧 ， 而 处 于 VLAN10 的 PC1、PC2 及 
PC3 则 不 会 受到 影响 。 

VLAN 技术 是 二 层 交 换 领 域 中 非常 重要 也 是 非常 基础 的 技术 ， 它 能 给 网 络 带 来 诸多 
利好 ， 例 如 : 

e。 隔绝 广播 : 当 交 换 机 部 署 VLAN 后 ， 广 播 数据 的 泛 洪 被 限制 在 VLAN 内 。 利 用 
VLAN 技术 可 以 将 网 络 从 原来 的 一 个 大 的 广播 域 切 割 成 多 个 较 小 的 广播 域 ， 从 而 减少 了 
泛 潜 市 来 的 市 宽 资 源 及 设备 性 能 的 损耗 。 

。 提高 网 络 组 建 的 灵活 度 : VLAN 技术 使 得 网 络 设计 和 部 署 更 加 灵活 。 同 一 个 工作 
组 的 用 户 不 再 需要 局 限 在 同一 个 地 理 位 置 。 

。 提高 网 络 的 可 管理 性 : 通过 将 不 同 的 业务 规划 到 不 同 的 VLAN， 并 且 分 配 不 同 的 
IP 网 段 ， 从 而 将 每 个 业务 划分 成 独立 的 单元 ， 极 大 地 方便 了 网 络 管理 和 维护 。 

。 提高 网 络 的 安全 性 : 利用 VLAN 技术 可 以 将 不 同 的 业务 进行 二 层 隔离 。 由 于 不 同 
VLAN 之 间 相 互 隔 离 ， 因 此 当 一 个 VLAN 发 生 故 障 ， 例 如 某 个 VLAN 内 发 生 ARP 欺骗 
行为 ， 不 会 影响 到 其 他 VLAN。 


8.2.2 ”VLAN 的 跨 交 换 机 实现 


在 图 8-15 中 ， 某 公司 的 两 人 台 交 换 机 ， 它 们 分 别 是 SW1 及 SW2， 现 在 我 们 在 SWI1 
上 创建 两 个 VLAN: 10 及 20 (分别 将 这 两 个 VLAN 分 配给 技术 部 与 会 计 部 )， 然 后 将 
GE0/0/1 和 GE0/0/2 接口 加 入 VLAN10, 如 此 一 来 ,这 两 个 接口 所 连接 的 PC(PCI1 及 PC2) 
也 就 加 入 了 VLAN10, 现 在 它们 属于 同一 个 广播 域 , 而 PC3 则 属于 男 一 个 广播 域 (GE0/0/3 
接口 加 入 VLAN20)。 网 络 男 一 边 的 SW2 上 也 有 技术 部 与 会 计 部 的 员工 需要 接 入 ， 因 此 
我 们 在 SW2 上 也 创建 了 VLAN10 及 VLAN20 并 且 将 接口 添加 到 相应 的 VLAN 中 。 





VLANI0 : VLAN20 EVLAN20i VLANIO: 
技术 部 。 ”上 会 计 部 : 会 计 部 上 技术 部 : 


WTI 


EEEEEELEEEEEEEEIE EE 


图 8-15 ”VLAN 的 路 交换 机 实现 


现在 面临 一 个 问题 ，SW1 及 SW2 都 连接 着 技术 部 与 会 计 部 的 员工 电脑 ， 这 两 台 交 
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换 机 可 能 分 布 在 公司 的 不 同 楼 层 ， 该 公司 希望 SW1 所 连接 的 技术 部 的 员工 可 以 与 SW2 
所 连接 的 技术 部 的 员工 进行 二 层 通 信 , 它们 应 该 属于 同一 个 广播 域 并 且 使 用 同一 个 全 网 
段 ， 当 然 会 计 部 也 是 同 理 ， 不 过 公司 依然 希望 SW1 所 连接 的 技术 部 的 员工 与 SW2 所 连 
接 的 会 计 部 是 互相 隔离 的 。 这 样 就 涉及 VLAN 跨 交 换 机 实现 的 问题 。 

现在 PC1 给 PC5 发 送 了 一 个 数据 帧 〈 姑 且 假 设 它 已 经 获知 了 对 方 的 MAC 地 址 )， 
交换 机 接收 数据 帧 后 ， 将 其 从 GE0/0/4 接口 转发 出 去 〈 此 处 姑且 忽略 交换 机 的 MAC 寻 
址 过 程 )， 如 果 交 换 机 直接 将 这 个 数据 帧 从 GE0/0/4 接口 发 出 ， 链 路 对 端的 SW2 收 到 这 
个 数据 帧 时 ， 它 会 如 何 判断 该 帧 究竟 是 来 自 VLAN10 还 是 VLAN20， 它 究竟 应 把 该 数据 
帧 放 入 本 地 的 VLAN10 还 是 VLAN20 中 ，SW2 显然 是 无 从 判断 的 ， 因 为 数据 帧 本 身 没 
有 任何 信息 能 标识 它 的 来 源 ， 这 是 一 个 传统 的 以 太 网 数据 帧 。 

SW1 及 SW2 之 间 的 互联 链 路 是 非常 关键 的 ， 因 为 它 需要 承载 多 个 VLAN 的 数据 流 
量 ，VLAN10 及 VLAN20 的 流量 都 可 能 会 在 上 面 传 输 ， 这 条 链 路 被 称 为 干道 链 路 。 由 于 
多 个 VLAN 的 数据 都 需要 在 该 链 路 上 传输 ,因此 链 路 两 端的 接口 需要 识别 对 端 发 送 过 来 
的 数据 帧 究竟 是 属于 哪 一 个 VLAN 的 。 我 们 需要 一 种 “标记 ”手段 ， 在 SW1 将 属于 某 
个 VLAN 的 数据 帧 从 GE0/0/4 接口 发 送出 去 时 ， 对 数据 帧 进行 特定 的 标记 ， 而 SW2 的 
GE0/0/4 接口 在 收 到 该 数据 帧 时 ， 又 能 借助 这 个 标记 来 识别 数据 帧 所 属 的 VLAN。 

IEEE 802.1Q 标准 也 即 虚 拟 桥 接 局 域 网 (Virtual Bridged Local Area Networks ) 标准 ， 
该 标准 定义 了 实现 上 述 “ 标 记 ” 的 方法 ， 使 得 VLAN 能 够 跨 交 换 机 实现 。IEEE 802.1Q 
标准 也 常 被 称 为 Dot1Q 标准 ， 它 对 传统 的 以 太 网 数据 帧 进行 了 修改 ， 在 数据 帧 头 部 中 的 
源 MAC 地 址 和 类 型 字段 之 间 插 入 4byte 的 802.1Q Tag 〈 标 记 )， 如 图 8-16 所 示 。 
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图 8-16 802.1Q Tag 


802.1Q Tag 共计 4byte， 包 含 多 个 字段 ， 每 个 字段 的 描述 如 下 : 

。 标签 协议 标识 符 〈Tag Protocol Identifier，TPI): 表示 数据 帧 的 类 型 ， 如 果 该 字 
段 值 为 0x8100， 则 表示 该 数据 帧 是 802.1Q 帧 。 

。 优先 级 (Priority，PRI): 表示 帧 的 优先 级 。 该 字段 主要 用 于 QoS (Quality of 
Service， 服 务 质 量 )。 

e 标准 格式 指示 符 (Canonical Format Indicator，CFI): 在 以 太 网 环境 中 ， 这 个 字 
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段 始终 为 0。 

。 VLAN ID: 该 数据 帧 所 属 的 VLAN-ID。 

802.1Q 标准 的 提出 使 得 VLAN 跨 交 换 机 得 以 实现 。 如 图 8-17 所 示 ，PC1 发 送 了 一 
份 数据 帧 给 PC5， 该 数据 帧 被 PC1 发 出 时 ， 是 传统 的 以 太 网 数据 帧 ， 也 被 称 为 无 标记 帧 
(Untagged Frame)， 主 机 的 网 卡通 党 只 能 发 送 和 接收 无 标记 帧 。 当 这 个 数据 帧 到 达 SW1 
后 ， 由 于 SW1 的 GE0/0/1 接口 已 经 加 入 VLAN10， 因 此 它 知 道 该 数据 帧 归 届 VLAN10， 
于 是 它 将 在 数据 帧 头 部 内 插入 Tag (此 处 Tag 指 的 是 802.1 Tag， 下 文 不 再 特别 强调 )， 在 
该 Tag 的 VLAN-ID 字段 中 填写 数据 帧 的 起 源 VLAN 的 ID: 10， 如 此 一 来 这 个 数据 帧 就 
变 成 了 一 个 标记 帧 (Tagged Frame)。 实 际 上 ， 在 交换 机 内 部 ， 为 了 区 分 不 同 VLAN 的 数 
据 帧 ， 数 据 帧 都 是 以 标记 帧 的 形式 存在 ， 至 于 该 帧 被 交换 机 从 某 个 接口 发 出 去 后 是 否 携 
市 Tag， 则 要 视 具 体 的 情况 而 定 。 接 下 来 ,交换 机 在 其 MAC 地 址 表 中 查询 数据 帧 的 目的 
MAC 地 址 (只 查询 与 VLAN10 关联 的 表 项 )， 最 终 它 发 现 该 数据 帧 要 从 GE0/0/4 接口 送 
出 ， 而 这 个 接口 连接 痢 干 道 链 路 ， 因 此 ， 它 将 数据 帧 以 标记 帧 的 形式 发 送出 去 。SW2 的 
GE0/0/4 接口 收 到 这 个 标记 帧 后 ， 通 过 读 取 Tag 中 相应 的 字段 ， 也 就 知道 了 这 个 数据 帧 
所 属 的 VLAN， 因 此 在 MAC 地 址 表 中 碍 询 该 帧 的 目的 MAC 地 址 时 ， 只 在 与 VLAN10 
关联 的 表 项 中 得 询 。 最 后 ，SW2 将 数据 帧 中 的 Tag 移 除 ， 将 数据 帧 还 原 成 无 标记 帧 发 送 
给 PC5。 





i ; : 5 国有 无 标记 帧 : WW 
: PCI PC2 .PC3 : : PC4 3 PCS 3 


: 了 时 标记 帧 “802.1Q 帧 ) : : 
VLANI10 :: VLAN20 : :YLAN20 i VLAN 10: 
技术 部 :会计 部 : 会 计 部 让 技术 部 ; 
图 8-17 ”标记 帧 与 无 标记 帧 
8.2.3 ”接口 类 型 


通常 ， 二 层 交 换 机 的 接口 均 为 二 层 口 (Layer 2 Interface)。 在 之 前 的 内 容 当 中 ， 我 们 
已 经 详细 地 探讨 了 二 层 交 换 的 工作 原理 以 及 相应 的 技术 细节 。 在 VLAN 技术 被 引入 交换 
体系 后 ， 数 据 帧 在 交换 机 上 的 转发 都 与 VLAN 息息相关 。 交 换 机 的 二 层 接口 存在 多 种 类 
型 ， 在 华为 的 交换 机 上 也 被 称 为 链 路 类 型 (Link-Type)， 不 同类 型 的 二 层 接口 对 数据 帧 
的 处 理 方 式 是 不 同 的 。 

值得 一 提 的 是 ， 所 有 的 二 层 接口 无 论 其 类 型 如 何 ， 都 有 一 个 缺 省 VLAN-ID， 这 个 缺 
省 VLAN-ID 被 称 为 PVID (Port Default VLAN ID), 在 华为 的 交换 机 上 , PVID 缺 省 为 1。 
另外 ， 出 于 提高 数据 帧 处 理 效率 的 考虑 ， 在 交换 机 内 部 ， 数 据 帧 一 律 携带 Tag。 

1. Access 类 型 

Access 类 型 的 二 层 接口 通常 用 于 连接 终端 设备 ， 例 如 PC、 服务器 等 ， 这 些 终端 设 
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备 的 网 卡通 和 常 只 收发 无 标记 帧 。 如 图 8-18 中 的 Port1、Port2、Port3、Port4 和 Ports 都 可 
以 配置 为 Access 接口 。 当 交换 机 的 接口 用 于 连接 路 由 器 时 ， 如 果 路 由 器 的 接口 工作 在 三 
层 模式 ， 而 且 没 有 部 团子 接口 (Sub-Interface)， 则 通常 情况 下 交换 机 侧 的 接口 也 会 被 配 
置 为 Access 类 型 ， 例 如 图 中 的 Port8。 





图 8-18 ”交换 机 的 各 种 接口 类 型 应 用 示例 


如 果 采 用 基于 接口 划分 VLAN 的 方式 ， 那 么 交换 机 的 一 个 Access 接口 只 能 加 入 一 
个 VLAN, 一 旦 接口 加 入 了 特定 的 VLAN， 则 该 接口 所 连接 的 设备 也 就 被 视 为 属于 该 
VLAN。 

e Access 接口 接收 数据 帧 






“接口 接收 数据 帧 ， 指 的 是 一 个 来 自 交 换 机 外 部 的 数据 帧 ， 从 交换 机 的 某 个 接口 到 
达 并 进入 交换 机 内 部 的 过 程 。 

当 Access 接口 收 到 一 个 无 标记 帧 时 ， 交 换 机 会 接收 这 个 数据 帧 ， 并 将 数据 帧 打上 接 
口 缺 省 VLAN 的 Tag。 如 图 8-19( 左 ) 所 示 ， 假 设 GE0/0/1 接口 被 配置 为 Access 接口 ， 
而 且 加 入 了 VLAN8, 若 GE0/O/1 收 到 一 个 无 标记 帧 ， 则 该 帧 在 进入 交换 机 内 部 时 交换 机 
会 为 其 打上 VLANS8 的 Tag。 












GEOQ/0/1 
(Access,PVID=8) 


GEO/0/1 
(Access,PVID=8) 


@ VLAN Tag 













图 8-19 ”Access 接口 接收 数据 帧 
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当 Access 接口 收 到 一 个 标记 帧 时 ， 如 果 该 帧 所 携带 的 VLAN-ID 与 该 接口 的 缺 省 
VLAN-ID 相同 ， 那 么 交换 机 将 接收 这 个 数据 帧 ， 如 图 8-19( 右 ) 所 示 ; 如 果 该 帧 所 携带 
的 VLAN-ID 与 该 接口 的 缺 省 VLAN-ID 不 相同 ， 那 么 交换 机 将 丢弃 这 个 数据 帧 。 

e Access 接口 发 送 数据 帧 





接口 发 送 数据 帧 ， 指 的 是 一 个 处 于 交换 机 内 部 的 数据 帧 ， 被 交换 机 从 某 个 接口 发 


当 Access 接口 发 送 数据 帧 时 ， 交 换 机 会 将 数据 帧 中 的 Tag 剥 除 ， 然 后 再 将 数据 帧 从 
该 接口 发 送出 去 ， 也 就 是 说 Access 接口 发 送出 去 的 数据 帧 一 定 是 无 标记 帧 。 如 图 8-20 
所 示 ， 数 据 帧 在 交换 机 内 部 是 携 市 Tag 的 ， 在 该 数据 帧 
被 发 出 GE0/0/1 接口 时 ，Tag 被 剥 除 。 值 得 注意 的 是 ， 如 
果 交 换 机 内 部 存在 一 个 标记 帧 ， 而 且 该 帧 携带 的 VLAN- 
ID 不 是 8， 那 么 它 是 不 能 从 GE0/0/1 接口 发 出 的 。 
2，Trunk 类 型 


Trunk 类 型 的 接口 是 可 以 接收 或 者 发 送 多 个 VLAN 
的 数据 帧 的 接口 。 图 8-18 中 的 Port6 及 Port7 如 需 承载 多 SS 


VLAN 的 数据 帧 ， 那 么 就 可 以 配置 为 Trunk 类 型 。 因 此 

Trunk 类 型 的 接口 多 见于 交换 机 之 间 互 联 的 接口 ， 当 然 ， 5 

两 台 交 换 机 之 间 的 互联 接口 未 必 就 一 定 得 是 Trunk 类 型 。 二 了 
另外 ， 图 8-18 中 ， 如 果 路 由 器 使 用 子 接口 的 方式 与 ”图 3-20 “Aceess 接口 发 送 数据 由 

交换 机 的 Port8 对 接 ， 那 么 Port8 也 可 以 配置 为 Trunk 接口 ， 此 时 一 般 不 能 配置 为 Access 

接口 ， 因 为 该 接口 需要 向 对 端 发 送 标记 帧 。 








“ 随 着 虚拟 化 技术 的 盛行 ,在 如 今 的 网 络 中 ， 在 主机 上 部 署 虚 拟 化 技术 的 场景 几乎 
随处 可 见 。 通 过 虚拟 化 技术 ， 我 们 可 以 在 一 台 主 机 上 虚拟 出 多 台 还 辑 主 机 ， 从 而 使 得 单 
一 的 物理 主机 可 以 用 于 多 种 业务 。 这 些 逻 辑 主机 被 称 为 VM (Virtual Machine， 虚 拟 机 ) ， 
从 用 户 的 角度 来 看 ， 这 些 VM 与 真实 的 物理 机 没什么 两 样 ， 都 拥有 自己 的 CPU、 内 存 、 
磁盘 空间 、 网 卡 以 及 操作 系统 等 ，VM 之 间 相 互 独立 、 互 不 干扰 ， 同 时 又 都 依赖 于 物理 
主机 而 存在 。 网 络 管理 员 可 以 为 一 台 物 理 主机 上 的 每 个 VM 分 配 单独 的 网 卡 ， 这 些 网 卡 
被 称 为 虚拟 网 卡 ， 所 有 的 虚拟 网 卡 都 共享 物理 主机 的 物理 网 卡 。 不 同 的 VM 可 能 有 不 同 
的 业务 用 途 ， 为 了 区 分 不 同 的 业务 流量 ， 网 络 管理 员 可 能 会 让 虚拟 网 卡 以 标记 帧 的 方式 
处 理 数据 ， 从 而 将 不 同 的 业务 流量 对 应 到 不 同 的 VLAN。 此 时 与 该 物理 主机 相连 的 交换 
机 的 接口 将 会 收 到 来 自 多 个 VLAN 的 标记 帧 ,那么 在 这 种 场景 下 ， 通 常 交换 机 侧 的 接口 
需 配 置 为 Trunk 类 型 或 者 Hybrid 类 型 。 


e Trunk 接口 接收 数据 帧 
当 Trunk 接口 收 到 一 个 无 标记 帧 时 ， 交 换 机 会 将 数据 帧 打上 缺 省 VLAN 的 Tag， 并 
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检查 该 VLAN-ID 是 和 否 在 接口 允许 通过 的 VLAN-ID 列表 中 , 如 果 人 允许 , 则 将 标记 帧 接收 ， 
反之 则 丢弃 该 帧 。 而 如 果 Trunk 接口 收 到 标记 帧 ， 交 换 机 将 判断 该 帧 所 携带 的 VLAN-ID 
是 否 在 接口 允许 通过 的 VLAN-ID 列表 中 ， 如 果 人 允许 ， 则 接收 这 个 标记 帧 ， 反 之 则 丢弃 
该 帧 。 

如 图 8-21 ( 左 )， 接 口 GE0/0/24 被 配置 为 Trunk 类 型 ， 并 且 接 口 的 PVID 为 1 (华为 
以 太 网 交换 机 缺 省 时 Trunk 类 型 接口 的 PVID 为 1, 而 且 VLANI1 缺 省 即 被 添加 到 了 人 允许 
通过 的 VLAN-ID 列表 中 )， 一 个 无 标记 帧 在 该 接口 到 达 ， 该 帧 被 标记 VLANI1 的 Tag， 
然后 交换 机 在 该 接口 允许 通过 的 VLAN-ID 列表 中 查询 是 否 有 VLAN1， 如 果 有 则 接收 该 
标记 帧 ， 反 之 则 丢弃 。 

如 图 8-21《〈 右 )， 接 口 GE0/0/24 收 到 一 个 标记 帧 ， 交 换 机 将 在 接口 允许 通过 的 
VLAN-ID 列表 中 查询 该 帧 所 携带 的 VLAN-ID (也 就 是 8)， 如 果 VLAN8 在 列表 中 ， 那 
么 这 个 标记 帧 将 被 接收 ， 反 之 则 被 丢弃 。 


人 


Wht co ode 
AGO DK | 


GE0/0/24 
(Trunk,PVID=1) 


图 8-21 Trunk 接口 接收 数据 帧 


GE0/0/24 
(Trunk,PVID=1) 





e。 Trunk 接口 发 送 数 据 帧 

当 Trunk 接口 在 发 送 数据 帆 时 ， 如 果 该 标记 帧 所 携 市 的 VLAN-ID 与 发 送 接口 的 
PVID 相同 ， 并 且 该 VLAN-ID 又 在 接口 允许 通过 的 VLAN-ID 列表 中 ， 那 么 这 个 数据 帧 
的 Tag 将 被 剥 除 , 然 后 从 接口 发 出 ;如 果 该 标记 帧 所 携带 的 VLAN-ID 与 发 送 接口 的 PVID 
不 同 ,， 并 且 该 VLAN-ID 又 在 接口 允许 通过 的 VLAN-ID 列表 中 ,那么 这 个 标记 帧 将 保持 
原 有 的 Tag， 直 接 从 接口 发 送出 去 。 

如 图 8-22 〈 左 )， 当 GE0/0/24 接口 准备 发 送 一 个 数据 帧 时 ， 交 换 机 发 现 数据 帧 所 携 
带 的 VLAN-ID 为 1, 与 发 送 接口 GE0/0/24 的 PVID 相同 , 而 且 VLAN1 又 在 该 接口 允许 
- 通过 的 VLAN-ID 列表 中 ， 因 此 交换 机 把 数据 帧 的 Tag 剥 除 ， 然 后 将 其 从 接口 GE0/0/24 
发 出 。 当 然 , 如果 VLANI1 不 在 接口 允许 通过 的 VLAN-ID 列表 中 ， 那 么 这 个 帧 是 不 允许 
从 GE0/0/24 接口 发 出 的 。 

如 图 8-22《〈 右 ) 中 ， 交 换 机 准备 发 送 的 数据 帧 的 VLAN-ID 与 发 送 接口 GE0/0/24 的 
PVID 不 相同 ， 并 且 VLANS8 又 在 该 接口 允许 通过 的 VLAN-ID 列表 中 ， 因 此 这 个 数据 帧 
保持 原 有 的 Tag， 从 接口 GE0/0/24 发 出 。 注 意 此 时 如 果 VLANS8 不 在 该 接口 允许 通过 的 
VLAN-ID 列表 中 ， 则 这 个 数据 帧 将 不 能 从 该 接口 发 出 。 
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GE0/0/24 
(Trunk,PVID=1 ) 


GE0/0/24 
(Trunk,PVID=1 ) 


图 8-22 ”Trunk 接口 发 送 数据 帧 


3. Hybrid 类 型 

Hybrid 接口 也 能 承载 多 个 VLAN 的 数据 ， 它 与 Trunk 接口 在 数据 帧 的 接收 行为 上 大 体 
相同 ， 这 里 不 再 资 述 。Trunk 接口 在 发 送 数据 帧 时 ， 仅 当 竺 发送 的 数据 帧 的 VLAN-ID 与 发 
送 接口 的 PVID 相同 时 , 数据 帧 的 Tag 才 会 被 移 除 , 除 此 之 外 , 该 接口 发 送出 去 的 其 他 VLAN 
的 数据 帧 都 是 携带 Tag 的 。 而 Hybrid 接口 发 送 数据 帧 的 行为 则 与 Trunk 接口 不 同 。 我 们 可 
以 通过 命令 指定 Hybrid 接口 在 发 送 某 个 ， 或 者 某 些 VLAN 的 数据 帧 时 不 携带 Tag。 


8.2.4 案例 1: Access 与 Trunk 类 型 接口 的 基础 配置 


在 图 8-23 中 ，PC1 及 PC3 被 规划 在 了 VLAN10，PC2 及 PC4 被 规划 在 了 VLAN20， 
现在 我 们 要 完成 交换 机 SW1 及 SW2 的 配置 ， 使 得 相同 VLAN 内 的 PC 能 够 实现 通信 。 
由 于 交换 机 SW1 的 GE0/0/1、GE0/0/2 以 及 交换 机 SW2. 的 GE0/0/1、GE0/0/2 都 连接 着 
PC， 因 此 需 将 这 些 接口 配置 为 Access 类 型 ， 并 加 入 相应 的 VLAN。SW1 及 SW2 的 
GE0/0/24 接口 为 互联 接口 , 而 且 这 两 个 接口 需要 承载 多 个 VLAN 的 数据 ,因此 可 将 这 两 
个 接口 配置 为 Trunk 类 型 并 允许 VLAN10 和 VLAN20 的 流量 通行 。 





PCI1 (VLAN10) PC2 (VLAN20) PC3 (VLAN10) PC4 (VLAN20) 
192.168.10.1/24 192.168.20.1/24 192.168.10.2/24 192.168.20.2/24 


图 8-23 ”VLAN 与 Trunk 的 基础 配置 
SW1 的 配置 如 下 : 


# 创 建 VLAN10 及 VLAN20: 
[SW1]vlan 10 
[SW1-vianl0]description VLANI10 eC # 添 加 措 述 性 的 内 容 
[SW1-vlan10]quit i 

~ [SWi1lvlan 20 
[SW1-vlan20]description VLAN20 
[SWI-vlan20]quit 
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# 将 接口 配置 为 Access 或 Trunk 类 型 ， 并 加 入 相应 的 VLAN: 
[SW1]Jinterface gigabitEthernet 0/0/1 «= 
[SW1-GigabitEthernet0/0/1]port link-type access 
[SW1-GigabitEthernet0/0/1]port default vlan 10 
[SW1-GigabitEthemet0/0/1]quit 
[SW1]interface gigabitEthernet 0/0/2 
[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthemet0/0/2]port default vlan 20 
[SW1-GigabitEthernet0/0/2]quit 
[SW1Jinterface gigabitEthernet 0/0/24 
[SW1-GigabitEthernet0/0/24]port link-type trunk 
[SW1-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 20 


# 将 该 接口 配置 为 Access 类 型 
# 接 口 添加 到 VLAN10 


4 将 该 交接 口 配置 为 Trunk 类 型 
# 配 置 允 许 通 过 该 接口 的 VLAN 





以 华为 S5700 交换 机 为 例 ，Trunk 类 型 的 接口 缺 省 时 已 经 配置 了 port trunk 
allow-pass vlan 1 命令 ， 也 就 是 说 Trunk 类 型 的 接口 缺 省 已 经 允许 VLAN1 的 流量 通过 。 
另外 该 类 型 的 接口 缺 省 还 配置 了 port trunk pvid vlan 1， 也 就 是 将 VLAN1 指定 为 该 接 
口 的 缺 省 VLAN, 这 样 无 标记 的 数据 帧 从 链 路 上 到 达 该 接口 时 , 会 被 识别 为 来 自 VLAN1 
的 流量 ， 另 外 ， 交 换 机 从 该 接口 向 外 发 送 VLANI 的 流量 时 ， 以 无 标记 帧 的 形式 发 送 。 


SW2 的 配置 如 下 : 
[SW2]vlan batch 10 20 # 在 Vlan 命令 中 使 用 batch 关键 字 可 批量 创建 VLAN 
[SW2lidterface gigabitEthemet 0/0/1 
[SW2-GigabitEthernet0/0/ 1]port link-type access 
[SW2-GigabitEthermetO/O/ 1]port default vlan Ai 
[SW2-GigabitEthernet0/0/1]quit 
[SW2]interface gigabitEthernet 0/0/2 = 
[SW2-GigabitEthernet0/0/2]port link-type access 
[SW2-GigabitEthernet0/0/2]port default vlan 20 
~ [SW2-GigabitEthemet0/0/2]quit 
[SW2]interface gigabitEthernet 0/0/24 
[SW2-GigabitEthernet0/0/24]port link-type trank 
[SW2-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 20 
完成 上 述 配 置 后 ， 可 以 在 交换 机 上 使 用 display vlan 命令 查看 设备 的 VLAN 信息 : 
<SW1>display vlan 
The total number of vlans is : 3 


一 一 一 一 一 一 一 -一 一 -一 一 一 一 一 -一 -一 一 -一 一 -一 一 一 -一 呈 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


WJ: Up: D: Down:; TG: Tagged; UT: Untagged; 

MP: Vlan-mapping; ST: Vlan-stacking; 

#: ProtocolTransparent-vlan; *; Management-vlan; 

VID Type Ports 

1 common UT:GE0/0/3(D) GE0/0/4(D) GE0/0/5(D) GE0/0/6(D) 
GE0/0/7(D) GE0/0/8(D) GE0/0/9(D) GE0/0/10(D) 
GE0/0/11(D) GE0/0/12(D) GE0/0/13(D) GE0/0/14(D) 
GE0/0/15(D) GE0/0/16(D) GE0/0/17(D) GE0/0/18(D) 
GE0/0/19(D) GE0/0/20(D) GE0/0/21(D) GE0/0/22(D) 
GE0/0/23(D) GE0/0/24(U) 
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10 common UT:GE0/0/1(U) 
TG:GE0/0/24(U) 
20 common UT:GE0/0/2(U) 
TG:GE0/0/24(U) 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 琴瑟 一 


1 enable default enable disable VLAN 0001 
由 enable default enable disable VLAN 0010 
enable default enable disable VLAN 0020 


从 以 上 输出 可 以 看 到 SW1 一 共存 在 三 个 VLAN: 1、10 及 20， 其 中 VLAN1 为 缺 省 
VLAN， 交 换 机 出 厂 时 该 VLAN 便 已 经 存在 。 在 缺 省 况 下 ， 交 换 机 的 所 有 接口 均 加 入 
了 VLAN1。Display vlan 命令 还 显示 了 加 入 每 个 VLAN 的 接口 ， 以 及 该 接口 以 何 种 方式 
处 理 VLAN 的 数据 (标记 还 是 无 标记 )。 

使 用 display port vlan 命令 可 查看 接口 的 类 型 及 所 加 入 的 VLAN, 以 SWI1 为 例 ; 


<SW ey port vlan Ld 
Port Link Type PVID Trunk VLAN List 

GigabitEthernet0/0/1 accesS 10 

GigabitEthernet0/0/2 access 20 

GigabitEthernet0/0/24 trunk 11020 


现在 , 同 处 于 VLAN10 的 PC1 ra PC3 即 可 相互 通信 ， 同样 的 , 处 于 VLAN20 的 PC2 
与 PC4 也 可 相互 通信 。 但 是 不 同 VLAN 之 间 此 时 是 无 法 通信 的 ， 因为 交换 机 将 这 些 流 量 
进行 二 层 隔 离 。 
8.2.5 “案例 2: 深入 理解 交换 机 对 数据 帧 的 处 理 过 程 


图 8-24 为 我 们 展示 了 一 个 非常 简单 的 场景 ， 然 而 场景 虽然 简单 ， 其 中 包含 的 问题 却 
也 难 倒 了 不 少 初 学 者 。 交 换 机 SW1 及 SW2 各 下 挂 着 一 台 PC (PC1 与 PC2 使 用 相同 的 
IP 网 段 )， 此 外 二 者 还 通过 GE0/0/24 接口 互联 。 现 在 ， 如 图 中 所 示 ，SW1 的 GE0/0/1 及 
GE0/0/24 都 被 配置 为 Access 类 型 , 并 日 均 加 入 了 VLANI0, SW2 的 GE0/0/1 及 GE0/0/24 
也 都 被 配置 为 Access 类 型 ， 但 是 加 入 了 VLAN20。 完 成 上 述 操 作 后 ，PC1 与 PC2 能 够 
进行 二 层 通信 人 么 ? 





SWI1 SW2 
GEO0/0/24 GEO0/0/24 
| 
S @ 

Do 

, Access 类 型 Access 类 型 

EE 加 入 VLANI0 加 入 VLAN20 | 
PC1 PC2 

192.168.10.1/24 192.168.10.2/24 


图 8-24 ”深入 理解 交换 机 对 数据 帧 的 处 理 过 程 
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很 多 初学 者 的 第 一 反应 可 能 是 PC1 无 法 与 PC2 通信 ， 因 为 两 台 PC 处 于 不 同 的 
VLAN， 而 不 同 的 VLAN 是 不 能 进行 二 层 通信 的 。 然 而 ， 实 际 上 在 这 个 场景 中 PC1 与 
PC2 是 可 以 通信 的 。 这 是 为 什么 呢 ? 

现在 假设 PC1 发 送 了 一 个 数据 帧 给 PC2( 假 设 此 时 PC1 已 经 知晓 了 PC2 的 MAC 地 
址 )， 这 个 数据 帧 从 PC1 的 网 卡 发 送出 时 显然 是 一 个 无 标记 帧 ， 随 后 它 进 入 SW1 的 
GE0/0/1 接口 ， 被 打上 Tag，VLAN-ID 为 10， 接 下 来 交换 机 在 MAC 地 址 表 中 查询 这 个 
数据 帧 的 目的 MAC 地 址 (只 在 关联 到 VLAN10 的 表 项 中 查询 )， 找 到 匹配 表 项 后 将 数 
据 帧 从 GE0/0/24 接口 发 出 ， 由 于 这 个 接口 是 Access 类 型 ， 而 且 最 重要 的 是 这 个 接口 也 
加 入 了 VLAN10, 因此 数据 帧 的 Tag 被 剥 除 然后 再 从 该 接口 发 出 。 接 痢 SW2 在 GE0/0/24 
接口 上 收 到 这 个 数据 帧 ， 该 帧 进入 交换 机 后 被 打上 Tag，VLAN-ID 为 20， 然 后 SW2 在 
MAC 地 址 表 中 查询 数据 帧 的 目的 MAC 地 址 〈 只 在 关联 到 VLAN20 的 表 项 中 查询 )， 找 
到 匹配 表 项 后 将 数据 帧 从 GE0/0/1 口 发 出 ， 此 时 数据 帧 的 Tag 被 剥 除 。 最 终 ，PC1 发 送 
出 来 数据 帧 是 能 够 到 达 PC2 的 , 如 图 8-25 所 示 ， 反 之 亦 然 。 综 上 所 述 ， 显 然 PC1 与 PC2 
是 能 够 通信 的 。 在 这 个 场景 中 ， 实 际 上 SW1 及 SW2 都 只 是 对 数据 帧 进行 透 传 而 已 ， 并 
不 涉及 两 个 不 同 VLAN 之 间 的 通信 。 当 然 ， 初 始 时 PC1 并 未 知晓 PC2 的 MAC 地 址 ， 因 
此 它 需 要 广播 一 个 ARP Request 请 求 对 方 的 MAC 地 址 , 这 个 广播 帧 会 在 SW1 的 GE0/0/1 
接口 上 到 达 ， 并 且 被 SW1 从 所 有 加 入 VLAN10 的 接口 泛 洪 出 去 ， 而 其 中 的 一 个 拷贝 会 
在 SW2 的 GE0/0/24 接口 上 到 达 ， 并 被 后 者 从 所 有 加 入 VLAN20 的 接口 泛 洪 出 去 ， 其 
GE0/0/1 正 是 这 些 接口 中 的 一 个 , 因此 PC2 可 以 收 到 该 ARP Request 帧 , 而 它 回应 的 ARP 
Reply 帧 上 自然 也 是 能 够 到 达 PC1 的 。 


国 国 以 太 网 数据 帧 





PC1 PC2 
192.168.10.1/24 192.168.10.2/24 


图 8-25 ”数据 帧 被 SW1 及 SW2 透 传 


现在 , 我 们 将 上 述 场 景 做 一 点 小 小 的 改动 ， 如 图 8-26 所 示 ，SW1 及 SW2 的 GE0/0/24 
口 均 变 成 了 Trunk 类 型 ， 而 且 分 别 允 许 VLAN10 及 VLAN20 的 流量 通过 (以 标记 帧 的 形 
式 )。 经 过 这 个 改动 后 ，PC1 与 PC2 将 无 法 互 访 。 以 PC1 访问 PC2 的 数据 帧 为 例 ， 这 些 
数据 帧 即便 会 从 SW1 的 GE0/0/24 接口 发 出 , 也 必然 会 携带 VLAN10 的 Tag， 也 束 是 说 ， 
数据 帧 将 以 标记 帧 的 形式 在 SW2 的 GE0/0/24 接口 上 到 达 ， 而 SW2 的 GE0/0/24 却 并 未 
允许 VLAN10 的 流量 通过 ， 因 此 数据 帧 被 丢弃 ， 即 便 是 该 接口 允许 VYLAN10 的 流量 通 
过 ， 数 据 帧 在 进入 SW2 内 部 后 (携带 的 VLAN-ID 为 10) 也 依然 无 法 从 GE0/0/1 接口 发 
出 ， 因 为 GE0/0/1 接口 加 入 的 是 VLAN20， 这 是 典型 的 VLAN 路 交换 机 实现 的 示例 ， 而 
在 图 8-25 所 示 的 例子 中 ， 实 际 上 VLAN 并 没有 路 交换 机 实现 。 
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GEO/0/24 GE0O/0/24 







3 
加 入 VLAN20 


加 入 VLANI10 





PC2 
192.168.10.1/24 192.168.10.2/24 


图 8-26 ”SWI1 及 SW2 的 GE0/0/24 口 变 成 了 Trunk 类 型 并 且 分 别 允 许 不 同 的 VLAN 通过 


8.2.6 ”案例 3: Hybrid 接口 的 配置 


Hybrid〈 混 杂 ) 是 一 种 特殊 的 二 层 接口 类 型 。 与 Trunk 类 型 的 接口 类 似 ，Hybrid 接 
口 也 能 够 承载 多 个 VLAN 的 数据 帧 ， 而 且 用 户 可 以 灵活 地 指定 特定 VLAN 的 流量 从 该 
接口 发 送出 去 时 是 否 携带 Tag。 另 一 方面 ,Hybrid 接口 还 能 用 于 部 署 基于 IP 地 址 的 VLAN 
划分 。 下 面 将 针对 儿 种 常见 的 场景 ， 讲 讲 Hybrid 接口 的 配置 。 

1. Hybrid 接口 用 于 连接 PC 

在 图 8-27 中 ,PC1 连接 在 SW1 的 GE0/0/1 接口 上 ，SW1 的 GE0/0/15 接口 则 连接 着 
一 个 交换 网 络 (图 中 忽略 了 这 部 分 网 络 )， 现 在，SW1 通过 Hybrid 接口 为 PC1 提供 接 入 
服务 ， 它 的 配置 如 下 : 

[SWilinterface GigabitEthermet 0/0/1 

[SW1-GigabitEthernet0/0/1 lport link-type hybrid 


GE0O/0/1 GEO/0/15 






PC1 SW1 
PP 地 址 : 192.168.10.1/24 


图 8-27 Hybrid 接口 用 于 连接 PC 

以 上 命令 将 GE0/0/1 接口 配置 为 Hybrid 类 型 ， 以 华为 $5700 交换 机 为 例 ， 接 口 缺 省 
即 为 该 类 型 ， 而 且 缺 省 将 VLAN1 设置 为 PVID ( 缺 省 已 经 配置 了 命令 : port hybrid pvid 
vlan 1)， 并 已 经 允许 VLANI 的 流量 以 无 标记 的 形式 通过 该 接口 〈 缺 省 已 经 配置 了 命令 : 
port hybrid untagged vlan 1)。 因 此 在 这 个 场景 中 完成 上 述 配置 后 ，PC1 即 可 与 SW1 所 
连接 的 其 他 VLANI 的 设备 进行 通信 。 此 时 PC1 被 认为 属于 VLAN1。 PCI1 发 出 的 数据 帧 
为 无 标记 帧 ，SW1 在 其 GE0/0/1 接口 上 收 到 该 帧 后 ， 为 其 打上 缺 省 VLAN (VLAN1) 的 
Tag， 而 由 于 VLAN1 是 该 接口 允许 通过 的 VLAN-ID， 因 此 这 个 数据 帧 会 被 交换 机 接收 。 

如 果 期 望 将 PC1 规划 在 VLAN10 中 ， 而 不 是 VLAN1 中 ， 那 么 SW1 的 配置 修改 如 下 : 

[SWI]interface GigabitEthernet 0/0/1 

[SW1-GigabitEthemetO/0/1]port link-type hybrid 

[SW1 -GigabitEthernet0/0/1]port hybrid pvid vlan10 

[SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 10 

在 以 上 配置 中 ，port hybrid pvid vlan 10 命令 用 于 将 接口 的 PVID 修改 为 10， 这 样 
当 该 接口 收 到 无 标记 帧 时 , 就 会 认为 这 些 幅 属于 VLAN10; 而 port hybrid untagged vlan 
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10 命令 则 用 于 将 该 接口 加 入 VLAN10 (也 就 是 将 VLAN10 添加 到 接口 允许 通过 的 
VLAN-ID 列表 中 )， 使 得 PC1 所 发 送 的 数据 帧 能 够 进入 GE0/0/1 接口 从 而 进入 交换 机 内 
部 ， 另 外 ， 这 条 命令 还 使 得 交换 机 在 从 GE0/0/1 接口 向 外 发 送 VLAN10 的 数据 帧 时 ， 以 
无 标记 帧 的 方式 发 送 。 完 成 上 述 配 置 后 ，PC1 被 认为 属于 VLAN10， 并 且 能 够 与 SW1 
所 连接 的 其 他 VLAN10 的 设备 进行 通信 。 

值得 注意 的 是 ， 在 PC1 发 送 的 数据 帧 进入 交换 机 SW1 之 后 、 从 GE0/0/15 接口 发 出 
时 是 否 携带 Tag， 则 要 根据 GE0/0/15 接口 的 配置 而 定 。 

2. Hybrid 接口 用 于 连接 交换 机 

在 图 8-28 中 ，SW1 及 SW2 分 别 连接 着 PC1 及 PC2， 这 两 台 交 换 机 的 GE0/0/1 接口 
均 被 配置 为 Access 类 型 , 并 且 都 加 入 了 VLAN10。 现在 SW1 的 GE0/0/15 被 配置 为 trunk 
类 型 ， 并 且 放 通 了 VLAN10: 


[SW1-GigabitEthernetO/0/15]port link-type trunk 
[SW]1-GigabitEthernet0/0/15 jport trunk allow-pass vlan 10 


GEO/0/15 GEO/O/1 -人 





PC2 
IP 地 址 :192.168.10.1/24 IP 地 址 :192.168.10.2/24 


图 8-28 ”Hybrid 接口 用 于 连接 交换 机 


而 SW2 的 GE0/0/15 接口 如 果 配 置 为 Hybrid 类 型 (纯粹 为 了 讲解 Hybrid 的 配置 而 
设计 ， 通 常 链 路 两 端的 接口 类 型 会 配置 为 一 致 )， 该 如 何 配置 才能 使 得 PC1 与 PC2 可 正 
常 通 信 ? 由 于 对 端 接口 (SW1 的 GE0/0/15〉 以 标记 帧 的 方式 发 送 YLAN10 的 数据 帧 ， 


因此 SW2 的 GE0/0/15 接口 也 必须 将 VLAN10 的 流量 以 标记 帧 的 方式 处 理 : 


~ [SW2-GigabitEthernet0/0/15]port link-type hybrid 
[SW2-GigabitEthernet0/0/15]port hybrid tagged vlan 10 


在 以 上 配置 中 ，port hybrid tagged vlan 10 命令 用 于 将 GEO/O/15 接口 加 VLAN10, 
并 且 VLAN 的 数据 帧 以 标记 帧 方式 通过 接口 。 

现在 考虑 另 一 种 情况 ， 如 图 8-29 所 示 。SW1 左 侧 连接 着 VLAN10、20 以 及 1000 这 
几 个 VLAN， 现 在 SW1 的 GE0/0/15 做 了 如 下 配置 ; 

[SW1-GigabitEthernet0/0/15]port link-type trunk \ 

[SW1-GigabitEthernet0/0/15]port trunk allow-pass vlan 10 20 1000 

[SW1-GigabitEthernet0/0/1S]port trunk pvid vlan 1000 


VLAN1000 

= VLAN10、20《〔〈 标 记 帧 ) 
VLAN1000《〈 无 标记 帧 ) 
一 一 一 一 一 一 一 -和 


三 GEO/O/15S GEO/O/1S 


VLANI10 SWI 








SW2 


VLAN20 


图 8-29 Hybrid 接口 可 以 灵活 指定 针对 特定 VLAN 的 数据 是 否 打 标记 
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当 SW1 从 GE0/0/15 往外 发 送 数据 帧 时 , 对 于 VLAN10 及 VLAN20 的 数据 采用 标记 
帧 的 形式 发 送 ， 而 对 于 VLAN1000 的 数据 则 采用 无 标记 帧 的 形式 发 送 ， 那 么 如 果 SW2 
采用 Hybrid 接口 与 其 对 接 ， 此 时 该 接口 的 配置 应 该 如 下 : 

[SW2-GigabitEthernet0/0/15 ]port link-type hybrid 

[SW2-GigabitEthernet0/0/15]port hybrid tagged vlan 10 20 

[SW2-GigabitEthernet0/0/15]port hybrid pvid vlan 1000 

[SW2-GigabitEthernet0/0/15]port hybrid untagged vlan 1000 


8.2.7 案例 4: 基于 IP 地 址 划分 VLAN 


通常 在 一 个 典型 的 局 域 网 中 ,我 们 多 采用 基于 接口 划分 VLAN 的 方式 ， 也 就 是 通过 
命令 将 交换 机 的 接口 加 入 某 个 或 者 某 些 特定 的 VLAN。 当 然 ， 除 了 可 基于 接口 划分 
VLAN， 业 界 还 存在 基于 MAC 地 址 划分 YLAN、 基 于 IP 地 址 划分 VLAN、 基 于 协议 划 
分 VLAN 以 及 基于 策略 划分 VLAN 等 方式 (具体 的 交换 机 型 号 是 否 支 持 这 些 工作 方式 
视 该 产品 特性 而 定 ， 并 非 所 有 的 交换 机 都 支持 上 述 工作 方式 )。 

在 图 8-30 所 示 的 网 络 中 ，SW2 下 挂 大 三 台 服 务 嚣 ， 其 中 SW2 连接 Serverl 及 Server2 
的 接口 是 Access 类 型 ， 而 且 加 入 了 VLAN1; 连接 Server3 的 接口 也 是 Access 类 型 ， 但 
是 加 入 VLAN30。 而 SW2 的 上 联接 口 (连接 SW1 的 接口 ) 则 是 Trunk 类 型 ， 该 接口 在 
其 允许 通过 的 VLAN-ID 列表 中 添加 了 VLAN1 及 VLAN30, 并 且 将 VLANI 指定 为 缺 省 
VLAN. 

如 此 一 来 ，SW1 将 会 在 其 GE6/0/15 接口 上 收 到 三 种 类 型 的 上 行 流 量 ， 分 别 是 源 地 
址 为 10.10.10.0/24 网 段 的 无 标记 帧 、 源 地 址 为 10.10.20.0/24 网 段 的 无 标记 帧 ， 以 及 
VLAN30 的 标记 帧 。 现 在 网 络 的 需求 是 ， 将 来 自 这 三 个 网 段 的 数据 帧 在 SW1 上 根据 规 
划 〔( 图 8-30 的 表格 ) 对 应 到 相应 的 VLAN， 并 且 SWI1 转发 这 些 帧 给 CoreSwitch 时 都 携 
带 Tag。 由 于 某 种 原因 ，SW2 的 配置 无 法 变更 ， 因 此 要 求 只 能 在 SW1 上 完成 配置 。 


0 | oooozt | 


Trunk 类 型 
VLANI] untagged; VLAN30 tagged 










SWI 


GE6/0/22 GE6/0/22 










GE6/0/15 CoreSwitch 


Access 类 型 < 一 一 Access 类 型 
VLANI 


Serverl Server2 Server3 
10.10.10.1/24 10.10.20.1/24 10.10.30.1/24 


8-30 ”基于 耳 地 址 识别 VLAN 


实际 上 上， 网络 的 需求 是 在 SW1 上 完成 相应 的 配置 使 得 其 在 GE6/0/15 接口 上 收 到 源 
地 址 为 10.10.10.0/24 网 段 的 数据 时 ， 将 其 识别 为 VLAN10 的 数据 ， 收 到 源 地 址 为 
10.10.20.0/24 网 段 的 数据 时 ， 将 其 识别 为 VLAN20 的 数据 ， 而 YLAN30 的 数据 则 需 以 标 
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记 帧 的 形式 处 理 。 因 此 本 例 需 在 SW1 上 部 署 基 于 IP 地 址 的 VLAN 划分 。 另 外 ， 为 了 让 
SW2 顺利 地 接收 相关 数据 帧 , SW1 的 GE6/0/15 接口 在 发 送 VLAN10 及 VLAN20 的 数据 
帧 时 不 能 打 标 记 ， 而 在 发 送 VLAN30 的 数据 帧 时 则 需要 打 标 记 。 

SW1 的 配置 如 下 : 


[SW1]vlan batch 10 20 30 


[SW1]vlan 10 

[SW1-vlanl0]ip-subnet-vlan ip 10.10.10.0 24 # 配 置 IP 网 段 与 VLAN 的 对 应 关系 
[SW1-vlanl0]quit 

[SW1]vlan 20 


[SW1-vlan20]ip-subnet-vlan ip 10.10.20.0 24 # 配 置 IP 网 段 与 VLAN 的 对 应 关系 
[SW1-vlan20]quit 


[SW1jinterface GigabitEthernet 6/0/15 

[SW1-GigabitEthernet6/0/15]port link-type hybrid 

[SW1:-GigabitEthernet6/0/15]port hybrid untagged vlan 10 20 

[SW1-GigabitEthernet6/0/15]port hybrid tagged vlan 30 ; 
[SW1-GigabitEthernet6/0/15]ip-subnet-vlan enable # 配 置 基 于 IP 地 址 划分 VLAN 
[SW1-GigabitEthernet6/0/15]quit 


[SW Jinterface GigabitEthernet 6/0/22 
[SW1-GigabitEthernet6/0/22]port link-type trunk 
[SW1-GigabitEthernet6/0/221port trunk allow-pass vlan 10 20 30 


在 以 上 配置 中 ， 在 VLAN10 的 配置 视图 下 执行 的 ip-subnet-vlan ip 10.10.10.0 24 命 
令 用 于 将 10.10.10.0/24 这 个 IP 网 段 与 VLAN10 进行 关联 ， 使 得 该 网 段 发 出 的 报 文 能 
在 VLAN10 内 传输 。VLAN20 的 配置 视图 下 执行 的 相应 命令 同 理 。 

留意 到 SW1 的 GE6/0/15 接口 配置 了 ip-subnet-vlan enable 命令 ， 该 命令 用 于 在 这 
个 接口 下 激活 基于 IP 子 网 划分 VLAN 的 功能 ,该 命令 只 能 在 Hybrid 类 型 的 接口 上 应 用 。 
另外 ，GE6/0/15 接口 被 配置 为 加 入 VLAN10、20 及 30， 并且 指定 VLAN10 及 20 的 数据 
帧 以 无 标记 帧 的 形式 通过 该 接口 ， 而 YLAN30 则 以 标记 帧 的 形式 通过 该 接口 。 

男 一 方面 ，SW1 的 GE6/0/22 接口 被 指定 为 Trunk 类 型 ， 并 且 放 通 了 VLAN10、20 
及 30 的 流量 ， 这 三 个 VLAN 的 数据 帧 将 以 标记 帧 的 形式 通过 该 接口 。 因 此 ， 对 于 
CoreSwitch 而 言 ， 它 需 将 目 己 的 GE6/0/22 接口 配置 为 Trunk 类 型 ， 并 且 将 VLAN10、20 
及 30 添加 到 该 接口 允许 通行 的 VLAN-ID 列表 中 。 


8.2.8 案例 5: 由 于 缺少 VLAN 信息 导致 通信 故障 


在 图 8-31 所 示 的 网 络 中 ， 网 络 管理 员 在 公司 办 公 楼 的 1、2 楼 各 放置 了 一 人 台 交 换 机 ， 
这 两 台 交 换 机 已 经 完成 了 相应 的 配置 ， 并 且 工 作 正 常 。 现 在 3 楼 新 增 了 一 个 办 公 场 地 ， 

网 络 管理 员 在 该 楼 层 增 加 了 一 台 交 换 机 ， 由 于 网 线 的 长 度 有 限 ， 他 将 该 交换 机 连接 在 了 
2 楼 的 SW2 上 ， 并 且 期 望 3 楼 内 的 VLAN83 的 用 户 能 够 与 1 楼 内 的 VLAN83 的 用 户 通 
言 《VLAN83 为 新 增 VLAN)。 

网 络 管理 员 将 SW1 的 GE0/0/1 接口 及 SW3 的 GE0/0/1 接口 配置 为 Access 类 型 ， 并 
日 加 入 VLAN83。 另 外 ，SW1 的 GE0/0/20、SW2 的 GE0/0/21 及 GE0/0/22 以 及 SW3 的 
GE0/0/23 接口 均 采 用 如 下 配置 : 
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port link-type trunk 
port trunk allow-pass vlan all # 人 允许 所 有 VLAN 通过 





图 8-31 由 于 缺少 VLAN 信息 导致 通信 故障 


完成 交换 机 的 配置 后 , 网 络 管理 员 发 现 PC1 与 PC2 无 法 通信 , 他 将 基于 当前 的 问题 
展开 故障 排除 (Trouble Shooting)。 最 终 ， 他 采用 如 下 操作 找到 了 问题 的 根 因 ， 并 且 解 决 
了 该 故障 : 

(1) 从 PC1 ping PC2( 两 者 在 相同 IP 子 网 )， 发 现 无 法 ping 通 ， 查 看 PC1 的 ARP 
表 ， 发 现 PC1 并 没有 获得 对 方 的 ARP 信息 ， 因 此 网 络 管理 员 初 步 判 断 PC1 与 PC2 之 间 
存在 二 层 通 信 问 题 。 

(2) 检查 SW1、SW2 及 SW3 的 各 个 接口 的 配置 ， 没 有 发 现 问题 。 

(3) 得 看 SW1 的 MAC 地 址 表 ， 发 现存 在 关于 PC1 的 网 卡 MAC 地 址 的 表 项 ， 这 说 
明 PC1 发 出 的 数据 帧 已 经 到 达 了 SW1 并 且 被 正常 接收 。 

(4) 查看 SW2 的 MAC 地 址 表 ， 发 现 并 不 存在 关于 PC1 的 网 卡 MAC 地 址 的 表 项 ， 
这 说 明 PC1 发 出 的 数据 帧 并 没有 到 达 SW2 的 GE0/0/21 接口 ， 或 者 被 该 接口 拒 收 。 

(5) 再 次 检查 交换 机 各 个 接口 的 配置 ， 依 然 没 有 发 现 问题 。 网 络 管理 员 陷入 思考 : 
基于 当前 的 配置 ， 初 始 时 ，PC1 发 出 的 ARP Request 广播 帧 肯定 能 够 到 达 SW1， 并 且 被 
SW1 泛 洪 ， 那 么 SW2 便 应 该 能 够 收 到 该 帧 。 从 1 楼 及 2 楼 中 原 有 VLAN 通信 正常 的 情 
况 来 看 ，SW1 及 SW2 之 间 的 网 线 表 定 是 正常 的 ， 因 此 网 络 管理 员 判 断 SW2 已 经 在 
GE0/0/21 接口 上 收 到 了 PC1 发 出 的 数据 帧 ， 但 是 并 没有 接收 该 帧 。 

(6) 检查 SW2 的 配置 ， 发 现 并 没有 部 署 任何 数据 帧 过 滤 技 术 ， 但 是 通过 display vlan 
命令 的 输出 ， 网 络 管理 员 发 现 SW2 上 并 不 存在 VLAN83， 原 来 ， 由 于 2 楼 并 不 存在 
VLAN83 的 用 户 ， 因 此 他 在 此 前 的 设备 配置 过 程 中 ,没有 在 SW2 上 创建 VYLAN83， 导 
致 SW2 无 法 处 理 该 VLAN 的 数据 帧 。 

(7) 在 SW2 的 系统 视图 下 执行 vlan 83 命令 创建 VLAN83， 问 题解 决 。 

网 络 故 障 定位 及 故障 排除 是 一 项 非常 重要 的 技能 ， 也 是 网 络 从 业者 的 必 备 技能 。 在 
现实 中 ， 网 络 故障 是 千奇百怪 的 。 作 为 一 名 专业 的 网 络 工 程 师 ， 或 者 网 络 管理 员 ， 首 先 
需 具 备 扎 实 的 理论 功底 ， 当 面 对 网 络 故障 时 ， 要 有 清晰 的 故障 定位 思路 ， 同 时 需 熟 练 地 
使 用 各 种 定位 手段 或 技术 ， 例 如 设备 丰富 的 display 命令 、debug (调试 ) 命令 、 报 文 捕 
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获 工 具 等 等 ， 来 完成 故障 分 析 及 定位 并 最 终 找 到 故障 的 根 因 、 解 决 网 络 故 障 。 当 然 ， 这 
需要 长 时 间 的 训练 ， 并 通过 大 量 的 实际 案例 来 积累 经 验 。 在 日 常 的 工作 中 ， 我 们 应 该 有 
意识 地 加 强 这 方面 的 学 习 及 技能 训练 。 


8.3 ”实现 VLAN 之 则 的 通信 


通过 前 面 的 学 习 大 家 已 经 知道 ，VLAN 是 交换 领域 非常 基础 的 一 项 技术 ， 它 使 得 交 
换 网 络 的 部 署 更 加 灵活 , 也 使 得 网 络 规划 变 得 更 加 合理 。 在 一 个 交换 网 络 中 部 署 VLAN， 
能 够 将 一 个 大 的 广播 域 切 割 成 多 个 更 小 的 广播 域 ， 一 个 VLAN 就 是 一 个 独立 的 广播 域 ， 
广播 以 及 数据 帧 的 泛 潜 被 限制 在 VLAN 内 部 ， 不 同 的 VLAN 之 间 二 层 隔 离 ， 这 对 于 交 
换 网 络 而 言 实在 是 一 个 令 人 欣喜 的 功能 。 

通常 在 一 个 园区 网 络 中 , 我 们 会 基于 业务 类 型 或 者 基于 用 户 类 型 进行 不 同 VLAN 的 
规划 ， 例 如 在 部 署 一 个 企业 的 园区 网 络 时 ， 可 能 
会 将 该 企业 不 同 的 部 门 规划 到 不 同 的 VLAN， 二 层 通信 
而 且 不 同 的 VLAN 会 分 配 不 同 的 卫 网 段 ， 这 «A 
样 一 来 ， 每 个 部 门 在 网 络 中 就 会 成 为 单个 逻辑 
单元 ， 管 理 起 来 十 分 方便 。 由 于 每 个 部 门 被 规 
划 在 了 不 同 的 VLAN 内 , 因此 二 层 通信 被 限制 一 十 一 十 … Eo Ne : 





在 部 门 内 部 。 然 而 在 实际 的 网 络 中 时 常 需要 在 ” 夸 夸 
部 门 之 间 实 现 数据 通信 ， 那 么 这 就 涉及 到 六 和 | 和 7 


VLAN 之 间 的 通信 问题 了 。 但 是 正如 前 面 所 说 ， 

不 同 的 VLAN 之 间 是 无 法 进行 二 层 通信 的 ,如 

图 8-32 所 示 ， 因 此 要 实现 VLAN 之 间 的 通信 ， 8-32 ”同一 个 VLAN 内 的 设备 可 以 进行 
a 重生 二 且 3 一 已 Te >、 日 二 层 通信 ， 而 不 同 VLAN 的 设备 之 间 

就 需要 通过 三 层 设备 (具备 三 层 功 能 ， 也 就 是 则 是 禁止 二 层 通信 的 

路 由 功能 的 设备 ) 来 实现 了 。 


8.3.1 使 用 以 太 网 子 接口 实现 VLAN 之 间 的 通信 


既然 不 同 的 VLAN 是 不 同 的 广播 域 ， 通 党 也 使 用 不 同 的 IP 网 段 ， 所 以 VLAN 之 间 
无 法 直接 进行 二 层 通信 ， 那 么 要 实现 VLAN 之 间 的 互通 ， 您 可 能 已 经 想到 了 ， 可 以 在 网 
络 中 增加 路 由 器 来 实现 ， 因 为 路 由 器 是 具备 路 由 功能 的 ， 它 能 够 连接 不 同 的 广播 域 ， 并 
且 实 现 数 据 的 三 层 转 有 发。 如 图 8-33 所 示 ， 交 换 机 创建 了 两 个 VLAN: VLAN10 及 20， 
”并 将 GE0/0/1 接口 加 入 VLAN10， 将 GE0/0/2 接口 加 入 VLAN20， 如 此 一 来 PC1 及 PC2 
就 处 于 两 个 不 同 的 VLAN， 它 们 互 不 影响 ， 也 无 法 进行 二 层 通信 。 现 在 网 络 中 增加 了 一 
台 路 由 器 ， 由 于 要 连接 两 个 广播 域 (VLAN)， 因 此 路 由 器 需要 贡献 两 个 物理 接口 与 交换 
机 对 接 ， 其 中 GE0/0/1 接口 配置 与 PC1 相同 网 段 的 IP 地 址 ， 而 GE0/0/0 接口 则 配置 与 
PC2 相同 网 段 的 IP 地址。 最 后 交换 机 将 GE0/0/23 接口 配置 为 Access 类 型 并 且 加 入 
VLAN10、 将 GE0/0/24 接口 配置 为 Access 类 型 并 且 加 入 VLAN20。 由 于 PC1 与 路 由 器 
的 GE0/0/1 接口 同属 一 个 广播 域 ， 因 此 它们 可 以 直接 进行 二 层 通 信 ，PC2 与 路 由 器 的 


VLAN20 
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GE0/0/0 接口 同 理 。PC1 将 默认 网 关 设 置 为 路 由 器 GEO/OV1 接口 的 地 址 ， 而 PC2 则 将 默 
认 网 关 设 置 为 路 由 器 GE0/0/0 接口 的 地 址 。 


GEO/0/1 
192.168.10.254/24 


PC1 (VLANI10) je GE0/0/0 
IP 地 址 : 192.168.10.1/24 各国 - 192.168.20.254/24 
默认 网 关 : 192.168.10.254 . 








GE0/0/23 









GEO/0/1 





GEO/0/24 


Access 接 口 
加 入 VLAN20 
图 8-33 ”通过 路 由 器 实现 VLAN 间 的 通信 


当 PC1 发 送 数据 给 PC2 时 ， 过 程 如 下 : 

(1) PC1 的 上 层 协 议 产 生 的 数据 载荷 到 了 网 络 层 ， 数 据 载 荷 在 网 络 层 被 封装 一 个 IP 
头 部 ， 在 IP 头 部 中 ， 源 IP 地 址 填写 的 是 192.168.10.1， 而 目的 IP 地 址 则 填写 的 是 
192.168.20.1。 接 下 来 ，PC1 的 网 卡 要 将 其 封装 成 帧 。PC1 发 现 数据 包 的 目的 PP 地 址 与 
本 地 网 卡 的 全 地址 并 不 在 同一 网 段 ， 因 此 它 判 断 需 要 将 这 个 数据 包 先 转发 到 默认 网 关 ， 
由 默认 网 关 将 其 转发 到 目的 地 。 于 是 它 通 过 网 卡 配置 信息 得 到 网 关 的 卫 地 址 192.168. 
10.254， 然 后 在 ARP 表 中 查询 这 个 IP 地 址 对 应 的 MAC 地 址 。 初 始 情况 下 ，PC1 并 没有 
相应 的 ARP 表 项 ,因此 它 以 广播 的 方式 发 送 一 个 ARP pi 数据 帧 ， 该 数据 帧 用 于 请 
求 192.168.10.254 对 应 的 MAC 地 址 。 

(2) PC1 发 送 的 广播 ARP Request 数据 帧 到 达 了 交换 机 ， 交 换 机 读 取 数 据 帧 目的 MAC 
地 址 ， 发 现 这 是 一 个 广播 数据 帧 ， 而 接收 这 个 数据 帧 的 接口 GE0/0/1 又 加 入 了 VLAN10， 
因此 交换 机 在 VLAN10 内 泛 洪 这 个 数据 帧 。GE0/0/23 接口 也 加 入 了 VLAN10， 因 此 交换 
机 也 会 从 这 个 接口 发 送 一 份 拷贝 出 去 。 当 然 GE0/0/2 接口 并 未 加 入 VLAN10， 交 换 机 则 
不 从 该 接口 泛 洪 这 个 数据 帧 。 另 外 ， 交 换 机 还 会 学 习 数据 帧 的 源 MAC 地 址 ， 并 将 该 地 
址 与 GE0/0/1 接口 绑 定 。 

(3) 路 由 占 的 GEO/OV1 接口 收 到 了 这 个 ARP Request 数据 帧 ， 由 于 ARP Request 中 
填充 着 发 送 者 PC1 的 IP 地址 及 MAC 地 址 ， 因 此 路 由 器 为 PC1 创建 一 个 ARP 表 项 ， 然 
后 构造 一 个 单 播 的 ARP Reply 数据 帧 回复 给 PC1。 

(4) ARP Reply 数据 帧 到 达 交 换 机 后 ， 交 换 机 在 MAC 地 址 表 中 查询 这 个 数据 帧 的 
目的 MAC 地 址 , 发 现 MAC 地 址 表 中 已 经 有 匹配 的 表 项 , 且 该 表 项 的 出 接口 为 GE0/0/1， 
因此 它 将 该 数据 帧 从 GE0/0/1 接口 发 送出 去 。 另 外 ， 交 换 机 还 会 学 习 数 据 帧 的 源 MAC 
地 址 ， 并 将 该 地 址 与 GE0/0/23 接口 绑 定 。 

(5) PC1 收 到 了 ARP Reply 数据 帧 ， 根 据 报 文中 的 内 容 形 成 192.168.10.254 以 及 相 
应 MAC 地 址 的 ARP 表 项 ， 然 后 将 待 发 送 给 PC2 的 数据 包 封 装 成 数据 帧 ， 帧 头 中 目的 
MAC 地 址 为 路 由 器 GE0/0/1 接口 的 MAC 地址。 数据 帧 从 网 卡 发 出 。 

(6) 数据 帧 到 达 交 换 机 后 ， 交 换 机 通过 MAC 地 址 表 查 询 ， 发 现 该 帧 的 目的 MAC 


GE0/0O/0 
PC2 (VLAN20) res 
IP 地 址 : 192.168.20.1/24 人 局- 
默认 网 关 : 192.168.20.254 
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地 址 在 表 中 存在 匹配 的 表 项 ， 而 且 出 接口 为 GE0/0/23， 因 此 它 将 数据 帧 从 该 接口 发 出 。 

(7) 路 由 占 收 到 这 个 数据 帧 后 ， 读 取 数 据 帧 的 目的 MAC 地 址 ， 发 现 目 的 MAC 地 
址 下 是 GE0/0/1 接口 的 MAC 地 址 ， 它 意识 到 这 个 数据 帧 是 发 送 给 自己 的 ， 通 过 帧 头 里 
的 “类 型 字段， 路 由 器 发 现 数据 帧 里 封装 的 是 一 个 卫 报 文 , 于 是 它 将 数据 帧 解除 封装 ， 
然后 将 里 面 的 报 文 交 给 IP 协议 模块 去 处 理 。 上 层 IP 协议 模块 检查 报 文 的 IP 头 部 中 的 目 
的 了 P 地 址 ， 发 现 目的 IP 地 址 为 192.168.20.1， 并 非 本 设备 的 IP 地 址 ， 于 是 它 在 路 由 表 
中 查询 这 个 IP 地 址 ， 发现 该 地 址 匹配 本 地 直 连 路 由 192.168.20.0/24， 出 接口 为 GE0/0/0， 
它 意 识 到 这 个 数据 包 是 要 发 往 本 地 直 连 的 一 个 网 段 。 因 此 它 重 新 将 数据 包 封 装 成 帧 ， 帧 
头 里 源 MAC 地 址 填写 的 是 路 由 器 GE0/0/0 接口 的 MAC 地 址 (因为 数据 包 将 从 这 个 接口 
发 出 )， 目 的 MAC 地 址 是 PC2 的 网 卡 MAC 地 址 (初始 时 路 由 器 可 能 并 不 知道 PC2 的 
IP 地 址 对 应 的 MAC 地 址 ， 因 此 将 触发 ARP 解析 过 程 ， 此 处 不 再 袭 述 )。 然 后 它 将 数据 
帧 从 GE0/0/0 接口 发 出 。 : 

(8) 交换 机 转发 该 数据 帧 的 过 程 此 处 不 再 袭 述 。 最 后 PC2 收 到 了 这 个 数据 帧 ， 它 检 
查 数据 帧 的 目的 MAC 地 址 ， 发 现 填 写 的 是 本 地 网 卡 的 MAC 地 址 ， 于 是 将 数据 帧 解除 
封装 ， 将 里 面 的 载荷 上 交 给 IP 协议 模块 ，IP 协议 模块 检查 数据 包头 部 ， 发 现 目的 全 地 
址 填写 的 正 是 本 地 网 卡 的 IP 地址， 因此 确认 该 报 文 是 发 送 给 自己 的 ， 它 通过 IP 包头 的 
“协议 ”字段 判断 IP 头 部 里 包 持 的 上 层 数据 类 型 ， 再 将 其 上 交 给 对 应 的 协议 去 处 理 。 如 
此 一 来 ，PC1 发 送 给 PC2 的 数据 最 终 就 完成 了 转发 过 程 ， 到 达 了 目的 地 。 

到 目前 为 止 , 通过 路 由 器 实现 VLAN 间 通 信 的 方案 的 确 是 可 行 的 ,然而 有 一 个 问题 
却 不 得 不 被 考虑 : 一 个 园区 网 内 的 VLAN 数量 往往 不 止 两 个 ， 规 模 大 一 点 的 网 络 中 ， 数 
十 上 百 个 VLAN 的 场景 是 很 常见 的 ， 如 果 一 个 YLAN 惑 需 要 占用 路 由 器 的 一 个 物理 接 
口 ， 那 么 十 个 VLAN 的 话 ， 路 由 器 间 不 是 要 拿 出 十 个 物理 接口 。 重 要 的 是 路 由 吉 的 接口 
资源 是 非常 宝贵 的 ， 这 显然 是 不 太 合理 的 。 

但 是 ， 用 以 太 网 子 接口 (Sub-Interface〉 可 以 解决 这 个 问题 。 所 谓 的 以 太 网 子 接口 ， 
指 的 是 基于 以 太 网 物理 接口 所 创建 的 逻辑 接口 。 子 接口 是 软件 的 、 风 辑 的 接口 ， 是 物理 
上 并 不 存在 的 ， 它 的 状态 又 依赖 于 对 应 的 物理 接口 。 您 可 以 在 一 个 物理 接口 上 创建 多 个 
子 接口 ， 而 每 一 个 子 接口 即 可 与 一 个 VLAN 对 接 ， 从 而 缓解 上 面 提 到 的 问题 。 在 物理 接 
口上 创建 子 接口 , 就 像 是 在 一 个 大 管道 里 开设 许多 小 管道 , 这 些小 管道 都 依赖 于 大 管道 ， 
并 且 彼 此 之 间 互 不 干扰 。 

以 图 8-34 所 示 的 场景 为 例 ， 路 由 器 仅 使 用 一 条 链 路 与 交换 机 直 连 。 现 在 我 们 在 路 由 
器 的 物理 接口 GE0/0/1 上 创建 两 个 子 接口 : GE0/0/1.10 及 GE0/0/1.20， 这 两 个 子 接口 的 
状态 与 物理 接口 GE0/0/1 息息相关 ， 当 GE0/0/1 被 关闭 或 者 发 生 故 障 时 ， 基 于 该 物理 接 
口 所 创建 的 所 有 子 接口 都 将 无 法 正常 工作 。 请 留意 子 接口 的 标识 ， 以 “GE0/0/1.10” 为 
例 ，GE0/0/1 指 的 是 物理 接口 类 型 及 编号 ， 而 小 数 点 “.” 后 面 的 数字 则 是 子 接口 的 编号 ， 
这 个 编号 是 自 定义 的 ， 没 有 特殊 的 含义 。 以 华为 AR2200 路 由 器 为 例 ， 在 一 个 千 兆 以 太 
网 接口 上 最 多 可 以 创建 4096 个 子 接 口 。 值 得 注意 的 是 , 子 接口 被 创建 后 ， 需 指定 其 对 接 
的 VLAN-ID， 当 该 子 接口 同 外 发 送 数据 帧 时 ， 数 据 帧 将 会 被 打上 相应 VLAN 的 Tag。 为 
了 能 够 与 交换 机 顺利 对 接 , 路 由 器 GE0/O/1 对 端的 交换 机 接口 必须 配置 为 Trunk 类 型 (或 
Hybrid 类 型 )， 而 且 要 放 通 相应 的 VLAN 并 以 标记 帧 的 形式 处 理 相 关 数 据 。 路 由 需 会 把 
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子 接口 当成 是 一 个 普通 接口 来 对 符 。 通 过 子 接口 的 方式 可 以 大 大 节省 硬件 成 本 。 


Access 接 口 GEO0/0/1.10 (VLAN10) 
入 VLAN10 192.168.10.254/24 
PCI1 (VLAN10) GE0/0/1.20 (VLAN20) 


IP 地 址 : 192.168.10.1/24 192.168.20.254/24 
默认 网 关 : 192.168.10.254 





PC2 (VLAN20) 
IP 地 址 : 192.168.20.1/24 
默认 网 关 : 192.168.20.254 





图 8-34 在 路 由 器 的 物理 接口 GE0/0/1 上 创建 子 接口 


在 本 例 中 ， 路 由 器 的 GE0/0/1.10 子 接口 被 指定 了 VLAN-ID 10， 而 GE0/0/1.20 则 被 
指定 了 VLAN-ID 20。 接 下 来 ， 我 们 看 看 在 路 由 器 部 署 了 子 接口 之 后 ，PC1 与 PC2 的 数 
据 通 信 过 程 ， 如 图 8-35 所 示 ， 以 PC1 发 往 PC2 的 数据 为 例 ， 重 点 关注 数据 帧 在 交换 机 
与 路 由 器 之 间 交 互 时 的 细节 。 







GEO/0/1.10 (VLAN10) 
192.168,10.254/24 

GE0/0/1.20 (VLAN20) 

192.168.20.254/24- 


PC1 (VLAN10) 
IP 地 址 : 192.168.10.1/24 
默认 网 关 : 192.168.10.254 


PC2 (VLAN20) 
IP 地 址 : 192.168.20.1/24 
默认 网 关 : 192.168.20.254 > 


图 8-35 PC1 同 PC2 发 送 数据 


(1) PC1 要 发 送 数据 给 PC2， 它 判断 出 PC2 并 不 在 本 地 网 段 ， 因 此 将 数据 发 往 网 关 
192.168.10.254。PCI1 发 往 PC2 的 数据 帧 〈 无 标记 帧 ) 从 PC1 的 网 卡 发 出 ， 其 目的 人 地 
址 是 192.168.20.1， 但 是 目的 MAC 地 址 是 路 由 器 的 接口 MAC 地 址 (假设 此 时 它 已 经 知 
晓 了 网 关 的 MAC 地 址 )。 

(2) 交换 机 收 到 了 这 个 数据 帧 ， 由 于 该 帧 在 GE0/0/1 接口 到 达 ， 而 该 接口 加 入 了 
VLAN10， 因 此 它 在 VLAN10 的 MAC 地 址 表 项 中 查询 这 个 数据 帧 的 目的 MAC 地 址 ， 
假设 交换 机 找到 一 个 匹配 的 表 项 ， 并 且 该 表 项 的 出 接口 为 GE0/0/24。 于 是 它 将 数据 帧 从 
这 个 接口 发 出 ， 由 于 该 接口 为 Trunk 类 型 ， 并 且 放 通 了 VLANI10 的 流量 ， 因 此 数据 帧 以 
标记 帧 的 形式 发 出 。 

(3) 路 由 器 在 GE0/0/1 接口 上 收 到 这 个 标记 帧 ， 根 据 数据 帧 携带 的 Tag， 路 由 器 判 
断 出 这 个 标记 帧 来 源 于 VLAN10, 这 意味 着 这 个 数据 帧 需要 交 给 子 接口 GE0/0/1.10 处 理 ， 
路 由 器 将 数据 帧 的 Tag 剥 除 ， 将 帧 头 解 封装 ， 然 后 读 取 IP 头 部 ， 发 现 目 的 IP 地 址 并 非 
本 地 所 有 ， 于 是 在 路 由 表 中 查询 目的 IP 地 址 。 路 由 器 发 现 目的 IP 地 址 匹配 本 地 直 连 路 
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由 192.168.20.0/24， 而 且 该 直 连 路 由 的 出 接口 是 GE0/0/1.20， 于 是 它 重 新 将 数据 包 封 装 
成 帧 ， 此 时 帧 头 中 的 源 MAC 地 址 是 路 由 器 GE0/0/1 接口 的 MAC 地址 , 而 目的 MAC 地 
址 则 是 PC2 的 MAC 地 址 。 由 于 数据 将 要 从 子 接口 GE0/0/1.20 送出 ， 而 该 子 接口 又 指定 
了 VLAN-ID 20， 因 此 路 由 器 在 数据 帧 中 插入 Tag， 其 中 VLAN-ID 为 20， 然 后 将 这 个 标 
记 帧 发 送出 去 。 

(4) 交换 机 收 到 这 个 标记 帧 ， 从 Tag 中 读 取 VLAN-ID， 发 现 该 帧 来 源 于 VLAN20， 
随后 在 MAC 地 址 表 中 查询 目的 MAC 地 址 ， 交 换 机 只 会 在 VLAN20 中 查询 该 MAC 地 
址 ， 最 终 ， 它 碍 询 到 匹配 的 表 项 ， 并 将 数据 帧 的 Tag 剥 除 ， 然 后 将 无 标记 帧 从 GE0/0/2 
接口 转发 出 去 。 

(5) 数据 帆 到 达 PC2。 





在 许多 场合 中 ， 路 由 器 在 一 个 物理 接口 上 部 署 子 接口 从 而 实现 多 个 VLAN 互通 
的 场景 ， 也 被 称 为 “ 单 辟 路 由 "， 其 中 单 辟 指 的 是 路 由 器 的 一 个 物理 接口 ， 或 者 一 条 物理 
链 路 。 而 当 路 由 器 使 用 多 个 物理 接口 ， 并 且 每 个 物理 接口 单独 与 某 个 VLAN 对 接 的 场景 ， 
则 被 称 为 “多 辟 路 由 ”。 


8.3.2 ”案例 1: 路 由 器 子 接口 的 配置 


在 图 8-36 中 ， 我 们 将 在 路 由 器 的 GE0/0/1 接口 上 创建 两 个 子 接口 ， 并 完成 交换 机 的 
配置 ， 最 终 使 得 处 于 VLAN10 的 PC1 与 处 于 VLAN20 的 PC2 能 够 通信 。 





GEO/0/1.10 (VLAN10) 
192.168.10.254/24 

GE0/0/1.20 (VLAN20) 

192.168.20.254/24 






PC1 (VLAN10) ple 
IP 地 址 : 192.168.10.1/24 属国 ” 
默认 网 关 : 192.168.10.254 









GE0/0/24 GEO/O/1 
PCI1 (VLAN20) eit 

IP 地 址 : 192.168.20.1/24 如 ” 

默认 网 关 : 192.168.20.254 3 


图 8-36 路 由 器 子 接口 的 配置 


路 由 器 的 配置 如 下 : 

[Routerjinterface GigabitEthernet 0/0/1.10 

[Router-GigabitEthernet0/0/ 1.10]dotlq termination vid 10 

[Router- GigabitEthemetO/0/ 1.10]ip address 192.168.10.254 24 

[Router- -GigabitEthernet0/0/ 1.10]quit 

[Routerjinterface GigabitEthernet 0/0/1.20 

[Router-GigabitEthernet0/0/1.20]dot1q termination vid 20 

[Router-GigabitEthernet0/0/1.20]ip address 192.168.20.254 24 

以 子 接口 GE0/0/1.10 为 例 ， 使 用 interface GigabitEthernet 0/0/1.10 命令 即 可 在 


GE0/0/1 接口 上 创建 一 个 编号 为 10 的 子 接口 ， 并 进入 该 子 接 口 的 配置 视图 。 另 外 dotlq 
termination vid 命令 用 来 指定 子 接口 的 VLAN-ID。 最 后 别 忘 记 为 子 接口 分 配 IP 地 址 。 
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交换 机 的 配置 如 下 : 


[Huaweilvlan batch 10 20 

[Huaweilinterface GigabitEthernet 0/0/1 
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthermet0/0/1]port default vlan 10 
[Huawei-GigabitEthermet0/0/1]quit 
[Huaweilinterface GigabitEthernet 0/0/2 
[Huawei-GigabitEthernet0/0/2]port link-type access 
[Huawei-GigabitEthernet0/0/2]port default vlan 20 
[Huawei-GigabitEthernet0/0/2]quit 
[Huaweilinterface GigabitEthernet 0/0/24 
[Huawei-GigabitEthernet0/0/24]port tink-type trunk 
[Huawei-GigabitEthemet0/0/24]port trunk allow-pass vlan 10 20 


再 次 强调 一 下 ， 由 于 交换 机 的 GE0/0/24 接口 与 路 由 器 的 子 接口 对 接 ， 因此 交换 机 上 
的 这 个 接口 必须 以 标记 帧 的 形式 处 理 相 关 VLAN 的 数据 ， 那 么 这 个 接口 就 必须 是 Trunk 
或 Hybrid 类 型 。 

但 看 一 下 路 由 器 的 接口 卫 信息 : 


<Router>display ip interface brief 

*down: administratively down 

^down: standby 

(1): loopback 

(S): spoofing 

The number of interface that is UP in Physical is 4 

The number of interface that is DOWN in Physical is 2 

The number of interface that is UP in Protocol is 3 
“The number of interface that is DOWN in Protocol is 3 


otertiienl | IP Address/Mask Physical Protocol 


GigabitEthernet0/0/0 °C “~ unassigned down ， ‘down 
GigabitEthernet0/0/1 unassigned nip down 
GigabitEthernet0/0/1.10 192.168.10.2S4/24 up up 
GigabitEthernet0/0/1.20 192.168.20.254/24 up up 
GigabitEthernet0/0/2 unassigned down down 
NULLO unassigned up ‘up(s) 


得 看 一 下 路 由 器 的 路 由 表 : 


<Router>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public = 

Destinations : 10 Routes : 10 


Destination/Mask Proto Pre ‘Cost , Flags NextHop Interface 
192.168.10.0/24 Direct Ia， D .192.168.10.254 GigabitEthernet0/0/1.10 
192.168.20.0/24 Direct 0 0 D 192.168.20.254 GigabitEthernet0/0/1.20 


LA 


现在 PC1 与 PC2 即 可 互相 通信 。 
8.3.3 使 用 VLANIF 实现 VLAN 之 间 的 通信 
经 过 有 前面 几 个 小 节 的 介绍 , 相信 大 家 已 经 掌握 了 使 用 路 由 器 实现 VLAN 间 通 信 的 方 
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法 。 当 路 由 器 使 用 多 臂 的 方式 实现 VLAN 间 的 通信 时 ， 路 由 器 的 接口 资源 将 受到 极 大 的 
挑战 ， 当 VLAN 数量 特别 多 时 ， 这 显然 是 不 具备 可 行 性 的 ， 而 且 这 种 方式 的 可 扩展 性 并 
不 高 。 而 路 由 器 采用 单 辟 的 方式 实现 VLAN 间 通 信 的 解决 方案 在 现 网 中 是 一 种 更 佳 的 选 
择 ， 因 为 后 者 的 可 扩展 性 更 高 、 更 经 济 。 然 而 单 臂 的 解决 方案 也 存在 一 定 的 短 板 。 一 个 
直接 的 短 板 是 ， 路 由 器 与 交换 机 之 间 的 链 路 由 于 需 承 载 所 有 VLAN 间 的 通信 数据 ， 因 此 
它 的 负载 将 变 得 非常 高 , 尤其 是 当 VLAN 的 数量 特别 多 、VLAN 间 通 信 的 流量 特别 大 时 ， 
这 上段 链 路 将 变 得 不 堪 重 负 。 另 外 , 单 臂 链 路 也 不 具备 元 余 性 ,一旦 链 路 发 生 故 障 ，VLAN 
之 间 的 通信 也 就 无 法 再 正常 进行 。 






1 “有 不 少 方法 可 以 提高 单 辟 路 由 的 可 靠 性 ,一 个 常见 的 方法 是 在 路 由 器 与 交换 机 之 
间 采 用 多 链 路 互联 ， 然 后 将 这 些 链 路 进行 聚合 (Link Aggregation) ， 而 路 由 器 则 在 聚合 
接口 上 创建 子 接口 。 链 路 聚合 一 方面 增加 了 路 由 器 这 条 “手臂 ”的 带宽 ， 另 一 方面 也 增 
加 了 它 的 可 靠 性 。 


接 下 来 将 为 大 家 介绍 一 种 在 实际 网 络 中 用 于 实现 VLAN 间 通 信 的 更 为 常用 的 解决 
方案 ， 那 就 是 使 用 三 层 交 换 机 〈Layer 3 Switch)。 对 于 二 层 交 换 机 的 概念 及 功能 ， 相 信 
大 家 已 经 很 清楚 了 ， 而 所 谓 的 三 层 交 换 机 ， 人 简单 地 理解 是 同时 具备 二 层 功 能 及 三 层 功能 
的 交换 机 。 华 为 的 S5700、S6700、S7700、S9700 及 S12700 等 系列 交换 机 都 是 三 层 交 
换 机 。 

三 层 交 换 机 除了 能 够 实现 二 层 交 换 机 所 有 功能 ， 还 支持 路 由 功能 。 三 层 交 换 机 除了 
拥有 二 层 接口 外 ， 还 拥有 三 层 接口 。VLANIF (VLAN Interface，VLAN 接口 ) 就 是 一 种 
非常 重要 的 三 层 接 口 ， 这 是 一 种 逻辑 接口 ， 物 理 上 并 不 存在 。 当 我 们 在 一 台 三 层 交 换 机 
上 创建 了 一 个 VLAN 时 ， 就 可 以 将 交换 机 的 物理 接口 (例如 GE0/0/1) 加 入 到 该 VLAN 
中 ， 此 时 这 些 物理 接口 都 是 二 层 接口 〈 某 些 交 换 机 支持 配置 物理 接口 的 工作 模式 ， 接 口 
可 以 在 二 层 及 三 层 模 式 之 间 切 换 , 关于 这 点 此 处 暂 不 涉及 )。 与 此 同时 我 们 还 能 在 交换 机 
上 配置 这 个 VLAN 对 应 的 VLANIF, 也 就 是 这 个 VLAN 对 应 的 三 层 接 口 ， 该 接口 能 够 与 
同 处 于 这 个 VLAN 内 的 设备 进行 二 层 通信 。VLANIEF 作为 一 个 三 层 接口 ， 可 以 进行 PP 
地 址 配置 ， 而 通常 情况 下 ， 这 个 IP 地 址 会 作为 VLAN 中 设备 的 默认 网 关 地 址 。 

图 8-37 展示 了 一 台 三 层 交 换 机 的 逻辑 图 。 该 交换 机 拥有 两 个 VLAN ,分别 是 VLAN10 
及 VLAN20, 物理 接口 GE0/0/1、GE0/0/2 及 GE0/0/3 都 被 配置 为 Access 类 型 ,其 中 GE0/0/1 
及 GE0/0/2 接口 加 入 了 VLAN10,， 而 GE0/0/3 接口 则 加 入 了 VLAN20。 另 外，VLANIF10 
配置 了 PP 地 址 192.168.10.254，VLANIF20 则 配置 了 IP 地 址 192.168.20.254。 各 VLAN 
内 的 PC 都 将 其 默认 网 关 地 址 配置 为 相应 VLAN 的 VLANIF IP 地 址 。 

从 图 8-37 中 可 以 看 到 ,三 层 交 换 机 同时 拥有 交换 模块 以 及 路 由 模块 。 首 先 来 看 一 下 
在 三 层 交 换 机 上 ， 相同 VLAN 内 PC 的 通信 过 程 ， 以 PC1 发 送 一 份 数据 给 PC2 为 例 ， 大 
致 的 过 程 如 下 : 

(1) PC1 的 上 层 协 议 产 生 的 数据 载荷 到 了 网 络 层 ， 数 据 载 荷 被 封装 IP 头 部 ， 在 卫 
头 部 中 ， 源 卫 地 址 是 192.168.10.1， 而 目的 IP 地 址 是 192.168.10.2。 数 据 载 荷 被 封装 好 
IP 头 部 后 ， 下 送 到 了 PC1 的 网 卡 ， 现 在 网 卡 要 为 其 进行 数据 链 路 层 封 装 ， 将 其 封装 成 以 


404 HCNP 路 由 交换 学 习 措 南 


太 网 数据 帧 ， 该 数据 帧 的 源 MAC 地 址 为 PC1 的 网 卡 MAC 地 址 ， 而 目的 MAC 地 址 为 
192.168.10.2 这 个 卫 地 址 对 应 的 MAC 地 址 。PC1 查询 ARP 表 试 图 寻找 相应 的 ARP 表 
项 , 初始 时 PC1 的 ARP 表 中 并 没有 相应 的 表 项 , 因此 PC1 发 送 一 个 广播 的 ARP Request 
去 请 求 PC2 的 MAC 地 址 。 










Ch esseeee 
“192:168.10.254 : 3 


PTTTTTTT Verve ev 和 


GEO0/0/1 GE0/0/2 GE0/0/3 
(Access, PVID=10)| 1(Access，PVID=10)1 1(Access，PVID=20) 


PC1 PC2 PC3 
192.168.10.1/24 192.168.10.2/24 192.168.20.1/24 
默认 网 关 : 192.168.10.254 默认 网 关 : 192.168.10.254 默认 网 关 : 192.168.20.254 


图 8-37 三 层 交 换 机 


(2) 这 个 广播 的 ARP Request 到 达 了 交换 机 的 GE0/0/1 接口 ， 被 打上 VLAN10 的 Tag。 
交换 机 通过 读 取 数 据 帧 头 部 ， 发 现 这 是 一 个 广播 数据 帧 ， 因 此 一 方面 将 其 在 所 有 加 入 
VLAN10 的 接口 上 泛 洪 ,， 另 一 方面 将 数据 帧 解 封 装 后 上 送 到 上 自己 的 ARP 协议 模块 (交换 
机 通过 数据 帧 头 部 的 “类 型 ”字段 发 现 该 帧 内 封装 着 一 个 ARP 报 文 )， 而 ARP 模块 发 现 
这 个 ARP 报 文 请 求 的 是 192.168.10.2 这 个 卫 地 址 的 MAC 地 址 ， 该 全 地 址 并 非 自 己 所 
有 ， 因 此 它 直 接 忽略 这 个 数据 帧 。 

(3) 由 于 交换 机 在 VLAN10 内 泛 洪 了 PCI 发 送 的 ARP Request， 因 此 PC2 会 收 到 这 
个 数据 帧 ， 它 将 记录 相应 的 ARP 表 项 ， 并 发 送 一 个 单 播 的 ARP Reply 帧 进行 回应 。 

(4) 交换 机 收 到 这 个 数据 帧 ， 通 过 查询 MAC 地 址 表 并 找到 目的 MAC 地 址 所 关联 
的 出 接口 ， 将 数据 帧 从 GE0/0/1 接口 发 出 。 

(5) PC1 收 到 了 这 个 ARP Reply， 获 知 了 192.168.10.2 对 应 的 MAC 地 址 ， 因 此 继续 
封 厂 数据 帧 ， 然 后 将 数据 帧 从 网 卡 发 出 。 

(6) 交换 机 收 到 这 个 数据 帧 ， 发 现 这 是 一 个 单 播 数据 帧 ， 于 是 在 MAC 地 址 表 中 查 
询 目 的 MAC 地址， 找到 匹配 的 表 项 后 ， 将 该 帧 从 GE0/0/2 接口 发 出 。 

(7) 最 后 ，PC2 收 到 这 个 数据 帧 。 

接着 来 看 在 三 层 交 换 机 上 ， 不同 VLAN 的 PC 的 通信 过 程 ， 以 PC1 发 送 一 份 数据 给 
PC3 为 例 ， 大 致 的 过 程 如 下 : 

(1) PC1 的 上 层 协 议 产 生 的 数据 载 答 到 了 网 络 层 ， 数 据 载 荷 被 封装 人 P 头 部 ， 然 后 下 
送 到 了 PC1 的 网 卡 ， 现 在 网 卡 要 将 其 封装 成 以 太 网 数据 帧 ， 由 于 数据 包 的 目的 IP 地 址 与 
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本 机 不 在 相同 网 段 ,这 意味 着 PC1 需要 先 把 报 文 发 送 到 默认 网 关 , 因此 数据 帧 的 目的 MAC 
地 址 需 填 写 网 关 〈192.168.10.254) 的 MAC 地 址 。PC1 在 ARP 表 中 查询 192.168.10.254， 
发 现 并 没有 匹配 的 表 项 ， 因 此 它 发 送 一 个 广播 的 ARP Request 试图 查询 网 关 的 MAC 地 址 。 

(2) 这 个 广播 的 ARP Request 到 达 了 交换 机 的 GE0/0/1 接口 , 被 打上 VLAN10 的 Tag。 
交换 机 通过 读 取 数据 帧 头 部 , 发 现 这 是 一 个 广播 数据 帧 ,因此 一 方面 将 其 在 加 入 VLAN10 
的 接口 上 进行 泛 洪 ， 另 一 方面 将 数据 帧 解 封装 后 上 送 到 目 己 的 ARP 协议 模块 ，ARP 模 
块 发 现 这 个 ARP 报 文 请 求 的 是 192.168.10.254 这 个 了 地 址 的 MAC 地址, 而 VLANIF10 
的 卫 地 址 就 是 192.168.10.254， 因 此 它 直接 发 送 一 个 ARP Reply 给 PC1。 

(3) PC1 收 到 了 这 个 ARP Reply， 获 知 了 192.168.10.254 对 应 的 MAC 地 址 ， 因 此 继 
续 封装 数据 帧 ， 然 后 将 数据 帧 从 网 卡 发 出 。 

(4) 交换 机 收 到 这 个 数据 帧 ， 发 现 这 是 一 个 单 播 数据 帧 ， 而 且 该 帧 的 目的 MAC 地 
址 正 是 本 机 的 MAC 地 址 ， 因 此 交换 机 将 数据 帧 解 封装 ， 并 将 里 面 的 数据 上 送 到 IP 模块 
进行 处 理 。IP 模块 读 取 数 据 包 的 目的 IP 地 址 后 ， 发 现 目的 IP 地址 并 非 本 机 的 他 地 址 ， 
于 是 它 在 路 由 表 中 查询 这 个 地 址 ， 结 果 发 现 有 一 条 本 地 直 连 路 由 匹配 ， 而 该 直 连 路 由 的 
出 接口 是 VLANIF20, 因此 交换 机 重新 将 这 个 数据 包 封 装 成 帧 , 这 个 新 的 以 太 网 帧 头 中 ， 
源 MAC 地 址 填写 的 是 交换 机 的 MAC 地址 ,而 目的 MAC 则 需 填 写 192.168.20.1 的 MAC 
地 址 ,如果 交换 机 的 ARP 表 中 没有 相关 的 表 项 , 那么 它 需 要 在 VLAN20 中 发 送 广播 ARP 
Request 去 请 求 PC3 的 MAC 地址， 这 个 过 程 不 再 次 述 。 数 据 帧 封装 好 后 ,交换 机 将 其 从 
GE0/0/3 接口 发 出 。 

(5) 最 后 ，PC3 收 到 这 个 数据 帧 。 


8.3.4 ”案例 2: 三 层 交 换 机 配置 案例 


在 图 8-38 中 ，SW1 是 二 层 交 换 机 ，SW2 是 三 层 交 换 机 。SW1 下 联 着 终端 用 户 ， 上 
联 SW2， 在 该 网 络 中 SW2 作为 汇聚 层 交 换 机 ， 是 终端 用 户 的 网 关 所 在 。 内 网 为 了 区 隔 
用 户 规划 了 两 个 VLAN， 分 别 是 VLAN10 及 VLAN20。 现在 要 完成 各 设备 的 配置 ， 使 得 
VLAN10 及 VLAN20 的 用 户 能 够 进行 相互 通信 ， 而 且 都 能 访问 192.168.100.0/24。 


SW2 Router 
GE0/0/24 pe | GEO 


/0/1 
RS GE0/0/0 192.168.100.254/24 
GE0/0/22 192.168.99.2/24 









VLANIF10: 192.168.10.254/24 
VLANIF20: 192.168.20.254/24 
VLANIF99: 192.168.99.1/24 






GEO0/0/22 





Pd SW]1 
~ pa (人 
NAN So， 
PC1 (VLAN10) PC2 (VLAN20) 
192 168 10 1/24 192 168 20 1/24 


默认 网 关 : 192.168.10.254 默认 网 关 : 192.168.20.254 
图 8-38 三 层 交 换 机 配置 案例 
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值得 注意 的 是 ， 网 络 中 一 共存 在 三 个 VLAN，, 分 别 是 VLAN10、VLAN?20 及 VLAN99。 
其 中 ，VLAN10 及 VLAN20 是 为 终端 用 户 规划 的 VLAN， 而 VLAN99 则 是 交换 机 SW2 
与 Router 互联 的 VLAN。 为 了 实现 SW2 与 Router 的 对 接 ， 需 将 SW2 的 GE0/0/24 接口 
配置 为 Access 类 型 ， 并 且 添 加 到 VLAN99， 同 时 配置 交换 机 的 VLANIF99。 

SW1 的 配置 如 下 : 

# 创 建 VLAN10 及 VLAN20， 将 连接 PC1、PC2 的 接口 配置 为 Access 类 型 并 添加 到 相应 的 VEAN 中 : 

[SW1]vlan batch 10 20 

[SW 1 |]interface GigabitEthernet 0/0/} 

[SW1-GigabitEthernet0/0/] jport link-type access 

[SW1-GigabitEthernet0/0/1]port default vlan 10 

[SW1-GigabitEthernet0/0/1 ]quit 

[SW linterface GigabitEthernet 0/0/2 

[SW1-GigabitEthernet0/0/21port link-type access 


[SW]1-GigabitEthernet0/0/2]port default vlan 20 
[SW1-GigabitEthernet0/0/2]quit 


# 将 连接 SW2 的 接口 配置 为 Trunk 类 型 并 放 通 VLAN10 及 VLAN20: 
[SWl]interface GigabitEthernet 0/0/22 

[SW1-GigabitEthernet0/0/22 |port link-type trunk 
[SW1-GigabitEthernet0/0/22]port trunk allow-pass vlan 10 20 


SW2 的 配置 如 下 : 


[SW2]vlan batch 10 20 99 


# 将 连接 SW1 的 接口 配置 为 Trunk 类 型 ， 并 放 通 VLAN10 及 VLAN20: 
[SW2]interface GigabitEthernet 0/0/22 

[SW2-GigabitEthernet0/0/221]port link-type trunk 
[SW2-GigabitEthernet0/0/221port trunk allow-pass vlan 10 20 
[SW2-GigabitEthernet0/0/221quit 


# 将 连接 路 由 器 的 接口 配置 为 Access 类 型 ， 并 加 入 VLAN99: 
[SW2]interface GigabitEthernet 0/0/24 
[SW2-GigabitEthernet0/0/24]port link-type access 
[SW2-GigabitEthemet0/0/24]port default vlan 99 
[SW2-GigabitEthernet0/0/24]quit 


# 配 置 VLANIF10 及 VLANIF20， 这 两 个 三 层 逻 辑 接 口 的 IP 地 址 将 作为 PC 的 默认 网 关 地 址 : 
[SW2]interface vlanif 10 ~ 

[SW2-vlanifl0jip address 192.168.10.254 24 

[SW2-vlanifl0]quit | 

[SW2]interface vlanif 20- 

[SW2-vlanif20]ip address 192.168.20.254 24 

[SW2-vlanif20]quit 


# 配 置 VLANIF99， 这 个 接口 用 于 和 路 由 器 进行 三 层 对 接 ; 
[SW2]interface vlanif 99 

[SW2-vlanmif99 lip address 192.168.99.1 24 
[SW2-vlanif99]quit 


# 为 SW2 配置 默认 路 由 ， 下 一 跳 是 Router: 

[SW2]ip route-static 0.0.0.0 0.0.0.0 192.168.99.2 
Router 的 配置 如 下 : 

[Router]interface GigabitEthernet 0/0/0 
[Router-GigabitEthernet0/0/0]ip address 192.168.99.2 24 
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[Router-GigabitBthemet0/0/0]quit ， 

下 [Router]interface GigabitEthernet 0/0/1 

wy [a \ jig abitEthernet0/0/1]ip address 192.168. 100.254 24 
[Router. GigabitEthemet0/0/1 gvit 





Ww # 汶 路 由 配置 到 达 VLAN10 及 VLAN20 对 应 的 网 段 的 静态 路 由 : 
\ [Routerjip route-static 192.168.10.0 24 192. 168.99.1 
[Routerlip route-static 192.168.20.0 24 192.168.99.1 


关于 本 案例 中 的 网 络 , 一 种 更 形象 的 理解 如 图 8-39 所 示 。 完 成 上 述 配置 后 可 先 做 几 
个 检查 。 首 先 看 一 下 SW1 的 接口 VLAN 信息 : 


<SW1>display pe vlan 
Pot oo ne hp YD Trunk VLAN List 
z GigabitEthemetO/O/ ec (- 
GigabitEthernet0/0/2 本 co Li 30 > 
\ eo ee ee ee L 
, GigabitEthermeid/022 tnk 1 1 10 20 


NN 





| ereeEee nN Urey we wh via WA siete rec ego nse Vow oa NV Eeey 2 wove rTE VAN Ve re EA AVENE 
Ee, " oe pa me wa Ye sph, Yen serve ree a | etree 


(Trunk, 10, 20) (Access, PYID=99) 


Router 


“7 
3 


SWI 


! GEO0/0/1 GE0/0/2 GE0/0/22 | 
| I(Access, PVID=10) i PVID=20) (Trunk, 10, 20) .0 


es 





Wm wm 





PC1 (VLANI10) PC2 (VLAN20) 
192.168.10.1/24 192.168.20.1/24 
默认 网 关 : 192.168.10.254 默认 网 关 : 192.168.20.254 


图 8-39 ”更 加 形象 地 理解 图 8-38 所 示 的 案例 


再 查看 一 下 SW2 的 路 由 表 : 

<SW2>display ip routing-table 

Rae Pho R.- relay, D - download to fib | 

gaouua Tables Public 
Destinations ; 9 Routes :9 


Otto" Bolo Pre Co ' Plags | Noextiion Interface 
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0.0.0.0/0 Static 60 0 RD 192.168.99.2 Vlanif99 
192.168.10.0/24 Direct 0 0 D 192.168.10.254 Vianif10 
192.168.20.0/24 Direct 0 0 D 192.168.20.254 Vlanif20 
192.168.99.0/24 Direct 0 0 D 192.168.99.1 Vlanif99 


在 SW2 的 路 由 表 中 能 看 到 192.168.10.0/24、192.168.20.0/24 以 及 192.168.99.0/24 这 
三 条 直 连 路 由 ， 它 们 分 别 关 联 到 了 VLANIF10、VLANIF20 及 VLANIF99。 另 外 还 有 一 

现在 PC1 已 经 能 够 ping 通 PC2， 当 然 ，PC1 及 PC2 也 能 够 ping 通 192.168.100.0/24 
中 的 设备 。 

在 本 例 中 , SW2 与 Router 可 以 使 用 静态 路 由 实现 网 络 中 各 网 段 之 间 的 数据 互通 , 也 
可 使 用 动态 路 由 协议 ， 以 S5700 交换 机 为 例 ， 除 了 文 持 静态 路 由 ， 还 文 持 各 种 动态 路 由 
协议 。 例 如 ， 我 们 可 以 在 SW2 与 Router 之 间 部 署 OSPF。 

SW2 的 配置 做 如 下 修改 : 


[SW2jundo ip route-static 0.0.0.0 0.0.0.0 192:168.99.2 


[SW2]ospf 1 

[SW2-osp 人 1]area 0 

[SW2-ospf-1-area-0.0.0.0Jnetwork 192.168.99.0 0.0.0.255 
[SW2-0spf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 
[SW2-0spf-1-area-0.0.0.0jnetwork 192.168.20.0 0.0.0.255 
[SW2-0spf-1-area-0.0.0.0]quit 
[SW2-ospf-1]silent-interface Vlanif 10 
[SW2-0spf-1]silent-interface Vlanif 20 


Router 的 配置 做 如 下 修改 : 


[Routerjundo ip route-static 192.168.10.0 255.255.255.0 192.168.99.1 
[Routerjundo ip route-static 192.168.20.0 255.255.255.0 192.168.99.1 


[Routerjospf 1 

[Router-ospf-1]area 0 

[Router-osp 人 1-area-0.0.0.0]jnetwork 192.168.99.0 0.0.0.255 
[Router-ospf-1-area-0.0.0.0Jnetwork 192.168.100.0 0.0.0.255 


8.4 MUX VLAN 


在 组 建 企业 的 数据 网 络 时 , 我 们 可 能 经 常会 迪 到 各 种 流量 隔离 的 需求 。 例如 图 8-40， 
该 企业 通过 一 台 二 层 交 换 机 连接 大 三 个 用 户 群 体 , 分 别 是 部 门 A 的 用 户 、 部门 B 的 用 户 
以 及 访客 ， 除 此 之 外 交换 机 上 还 连接 着 公共 服务 器 (Server)。 现 在 企业 的 需求 是 : 

。 A 部 门 内 的 用 户 之 间 能 够 进行 二 层 通信 ，B 部 门 同 理 。 但 是 A、B 部 门 的 用 户 之 
则 不 能 进行 二 层 通 信 。 您 可 能 已 经 想到 了 ， 这 个 需求 可 以 通过 将 A、B 部 门 规划 到 两 个 
不 同 的 VLAN 来 实现 。 

。 要 求 部 门 A 以 及 部 门 B 的 用 户 都 能 访问 公共 服务 器 Server。 

这 是 需 面 对 的 第 一 个 疑难 点 。 因 为 部 门 A 及 部 门 B 如 果 被 规划 到 了 不 同 的 VLAN 
中 ， 而 这 两 个 VLAN 现在 都 要 访问 Server， 那 么 究竟 该 把 Server 放置 在 哪 一 个 VLAN 
呢 ? 如 果 将 Server 放置 在 与 部 门 A 相同 的 VLAN 中 ， 那 么 部 门 B 的 用 户 将 无 法 访问 
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Server， 此 时 就 不 得 不 借助 三 层 设 备 ， 例 如 路 由 器 来 实现 VLAN 间 的 通信 ， 这 就 增加 了 
经 济 成 本 。 

e。 要 求 访 客 区 的 任意 一 台 PC 除了 能 访问 Server 外 ， 不 能 访问 任何 其 他 设备 ， 包 括 
其 他 访客 PC。 


ET ETE 





EE 





CEE EEE AOETEEEDEEEE TO TT TE TN CT 
eeaaeeeese waseesa 0 vn mo etang 


PC1 Pc2 :: Pc3 Pc4 :: Pc5 Pc6 
部 JA i: 部 8 |: 访客 


ELE ELLE 


这 又 是 另 一 个 难题 。 如 何 解决 任何 访客 PC 之 间 的 流量 隔离 问题 ? 如 果 将 每 一 台 访 
客 PC 都 放置 在 不 同 的 VLAN 中 ， 将 不 得 不 配置 大 量 的 VLAN， 这 显然 是 不 合理 的 ， 男 
外 ， 访 客 又 如 何 与 Server 直接 通信 呢 ? 

MUX VLAN (Multiplex VLAN) 可 以 实现 上 述 需 求 。MUX VLAN 实现 了 二 层 流量 
的 弹性 管控 。 我 们 先 熟 悉 一 下 MUX VLAN 的 几 个 基本 概念 。 

。 主 VLAN (Principal VYLAN) 

加 入 Principal VLAN 的 接口 也 即 Principal Port， 它 们 可 以 和 MUX VLAN 内 的 所 有 
接口 进行 通信 。 

e。 从 VLAN (Subordinate VLAN) 

Subordinate VLAN 分 为 两 种 ,一 种 是 互通 型 Subordinate VLAN (Group YLAN)， 男 
一 种 是 隔离 型 Subordinate VLAN (Separate VLAN )。 每 个 Group VLAN 及 Separate VLAN 
必须 与 一 个 Principal VLAN 绑 定 。 

加 入 Separate VLAN 的 接口 也 即 Separate Port，Separate Port 只 能 与 Principal Port 通 
言 ， 而 无 法 与 其 他 类 型 的 接口 通信 (包括 同属 一 个 Separate VLAN 的 其 他 Separate Port)。 

加 入 Group VLAN 的 接口 也 即 Group Port，Group Port 可 以 和 Principal Port 通信 ， 
属于 同一 个 Group VLAN 的 用 户 之 间 能 够 进行 二 层 通信 ， 而 属于 不 同 Group VLAN 的 用 
户 之 间 就 无 法 通信 了 了， 另外 Group Port 也 无 法 与 Separate Port 通信 。 

回 到 本 他 开 始 时 提 到 的 案例 ， 在 该 网 络 中 部 署 MUX VLAN 即 可 实现 相关 需求 。 如 
图 8-41 所 示 ， 交 换 机 创建 了 四 个 VLAN， 它 们 分 别 是 100、101、102 以 及 109， 这 四 个 
VLAN 分 别 给 Server、 部 门 A、 部 门 B 以 及 访客 使 用 。 现在 VLAN100 被 配置 为 Principal 
VLAN，VLAN101 以 及 VLAN102 被 配置 为 Principal VLAN 100 的 Group VLAN， 如 此 
一 来 ，A 部 门 内 的 用 户 之 间 能 够 进行 二 层 通信 ，B 部 门 同 理 ， 而 这 两 个 部 门 的 用 户 之 间 
则 无 法 通信 ， 同 时 由 于 VLAN101 及 VLAN102 都 是 VLAN100 的 Group VLAN， 因 此 两 


410 HCNP 路 由 交换 学 习 指 南 


个 部 门 的 用 户 都 能 与 处 于 VLAN100 的 Server 通信 。 接 下 来 将 VLAN109 配置 为 Principal 
VLAN 100 的 Separate VLAN， 如 此 一 来 ， 属 于 VLAN109 的 访客 只 能 够 与 Server 通信 ， 
而 无 法 与 其 他 任何 接口 通信 ， 包 括 VLAN109 TP os 


ETE 


Principal YLAN: 100 : : Server : 
p VLAN100 : 






Group VLAN: 101 





Group VLAN: 102 





PC3 PC4 i: PCs PC6 


部 门 A ] : 部门 B ;| 访客 
VLANI]10] i : VLAN102 i : VLANI109 


. 入 9 
EE 


图 8 8-41 在 交换 机 上 部 署 MUX VLAN 


8.4.1 案例 : MUX VLAN 基础 配置 


在 图 8-42 中 ， 交 换 机 将 部 署 MUX VLAN。 将 VLAN100 配置 为 Principal VLAN， 
将 VLAN101、102 配置 为 VLAN100 的 Group VLAN， 将 VLAN109 配置 为 VLAN100 
的 Separate VLAN。 最 后 将 连接 PC 或 Server 的 接 FA 本 的 VLAN。 
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8-42 MUX VLAN 基础 配置 


交换 机 的 配置 如 下 : 
# 批 量 创建 相关 VLAN: 
[Qulidwayjvlan batch 100 101 102 109 


# 配 置 MUX VLAN 中 的 Bu VLAN 和 Separate VLAN: 


[Quidway]vlan 100 Wu 
[Quidway-vlan100]mux-vlan = “请 当 前 VLAN 指定 为 Principal VLAN 
[Quidway-vlan100]subordinate group 101 102 “ ，  # 指 定 当前 VLAN 的 Group VLAN 
[Quidway-vlan100]subordinate separate 109 # 指 定 当前 VLAN 的 Separate VLAN 


[Quidway-vlan100]quit 
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# 配 置 接口 加 入 VLAN 并 使 能 MUX VLAN 功能 : 
[Quidway]jinterface gigabitethernet 0/0/1 
[Quidway-GigabitEthernet0/0/] ]port link-type access 
[Quidway-GigabitEthermet0/0/1jport default vlan 101 
[Quidway-GigabitEthemet0/0/1]port mux-vlan enable 
[Quidway-GigabitEthernet0/0/] lquit 

[Quidway] interface gigabitethernet 0/0/2 
[Quidway-GigabitEthermet0/0/2]port link-type access 
[Quidway-GigabitEthernet0/0/2]port default vlan 101 
[Quidway-GigabitEthernet0/0/2jport mux-vlan enable 
[Quidway-GigabitEthernet0/0/2]quit 

[Quidway] interface gigabitethernet 0/0/3 
[Quidway-GigabitEthernet0/0/3]port link-type access 
[Quidway-GigabitEthernet0/0/3]port default vlan 102 
[Quidway-GigabitEthernet0/0/3]port mux-vlan enable 
[Quidway-GigabitEthemet0/0/3]quit ~ 
[Quidway]interface gigabitethernet 0/0/4 
[Quidway-GigabitEthernet0/0/4]port link-type access 
[Quidway-GigabitEthernet0/0/4]port default vlan 102 
[Quidway-GigabitEthernet0/0/4]port mux-vlan enable 
[Quidway-GigabitEthernet0/0/4]quit 

[Quidway] interface gigabitethernet 0/0/5 
[Quidway-GigabitEthernet0/0/Slport link-type access 
[Quidway-GigabitEthernet0/0/$]port default vlan 109 
[Quidway-GigabitEthemet0/0/$]port mux-vlan enable 
[Quidway-GigabitEthernet0/0/S lquit 

[Quidway linterface gigabitethernet 0/0/6 
[Quidway-GigabitBthemet0/0/6]port link-type access 
[Quidway-GigabitEthernet0/0/6]port default vlan 109 
[Quidway-GigabitEthernet0/0/6]port mux-vlan enable 
[Quidway-GigabitEthernet0/0/6]quit 
[Quidwayjinterface gigabitethernet 0/0/24 
[Quidway-GigabitEthernet0/0/24]port link-type access 
[Quidway-GigabitEthernet0/0/24]port default vlan 100 
[Quidway-GigabitEthernet0/0/24]port mux-vlan enable 
[Quidway-GigabitEthernet0/0/24]quit 


完成 上 述 配置 后 ， 可 以 在 交换 机 上 和 奏 看 一 下 配置 结 朱 : 


<quldway>display mux-vlan 
Principal Subordinate Type Interface 
100 - principal GigabitEthemet0/0/24 
100 109 separate GigabitEthernet0/0/5 GigabitEthernet0/0/6 
100 101 group GigabitEthernet0/0/1 GigabitEthernet0/0/2 
100 102 group GigabitEthernet0/0/3 GigabitEthernet0/0/4 

8.5 ”VLAN 聚合 

" A 


我 们 已 经 知道 ， 在 一 个 交换 网 络 中 ， 一 个 VLAN 就 是 一 个 广播 域 ， 不 同 的 VLAN 
属于 不 同 的 广播 域 ， 一 般 而 言 ， 不 同 的 YLAN 也 会 使 用 不 同 的 卫 网 段 。 当 一 个 园区 网 
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络 中 存在 一 定数 量 的 VLAN 时 ， 通常 情况 下 ， 网 络 管理 员 需 要 为 该 网 络 分配 与 VLAN 
数量 相当 的 IP 网 段 。 然 而 ， 在 实际 的 部 署 中 ， 某 些 VLAN 内 的 主机 数量 可 能 非常 少 ， 
当 IP 地 址 紧缺 时 ， 为 这 几 台 属于 同一 个 VLAN 的 主机 单独 分 配 一 个 大 的 IP 网 段 将 显得 
非常 浪费 ， 即 使 可 以 利用 VLSM， 为 这 些 VLAN 分 配 一 个 掩 码 长 度 较 长 的 IP 子 网 ， 每 
个 卫 子 网 也 会 被 网 络 地 址 、 广 播 地 址 以 及 网 关 地 址 等 至 少 占据 数 个 IP 地 址 ， 这 在 一 定 
程度 上 也 造成 了 卫 地 址 的 浪费 。 而 且 如 果 卫 网 段 中 的 地 址 分 配 得 过 于 紧 致 ， 也 会 为 日 
后 VLAN 内 的 设备 扩容 造成 不 便 。 

在 图 8-43 所 示 的 网 络 中 存在 三 个 VLAN， 这 三 个 VLAN 各 包含 一 定数 量 的 PC， 我 
们 当然 可 以 为 这 三 个 VLAN 各 分 配 一 个 C 类 IP 地 址 段 ， 然 而 如 果 网 络 管理 员 只 被 允许 
使 用 一 个 C 类 IP 地 址 段 ， 例 如 192.168.8.0/24 用 于 该 网 络 ， 那 么 他 就 不 得 不 将 这 个 IP 
地 址 空间 进行 子 网 划分 ， 然 而 这 样 一 来 ， 就 不 得 不 面 对 上 文 提 到 的 几 个 问题 。 





CoreSwitch 所 


二 -> 
SWI Es 
VLANI11 VLAN12 VLAN13 
192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 
(10 台 PC) (30 人 台 PC) (40 台 PC) 


图 8-43 ”网 络 中 存在 三 个 VLAN， 需 要 分 配 三 个 单独 的 IP 网 段 


简单 地 说 ，VLAN 聚合 (VLAN Aggregation ) 技术 允许 网 络 管理 员 将 一 个 卫 网 段 用 
于 多 个 VLAN， 例 如 将 192.168.8.0/24 同时 用 于 VLAN11、12 及 13， 如 图 8-44 所 示 ， 从 
而 避免 一 个 VLAN 单独 占据 一 个 王 网 段 的 情况 ， 节 省 了 耳 地 址 ， 也 保证 了 网 络 的 可 扩 
展 性 。VLAN 聚合 也 被 称 为 超级 VLAN (Super VLAN)。 


CoreSwitch 地 VLANIF100: 192.168.8.254/24 





VLANI1]1 VLANI12 VLAN13 
192.168.8.1 至 192.168.8.10 192.168.8.11 至 192.168.8.40 192.168.8.41 至 192.168.8.80 
(10 人 台 PC ) 《30 台 PC ) (40 合 PC) 


图 8-44 在 网 络 中 部 署 VLAN 聚合 
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在 VLAN 聚合 中 ， 有 两 种 类 型 的 VLAN: 

。 Super-VLAN: Super-VLAN 类 似 “ 父 VLAN ”的 概念 , 用 户 创建 Super-VLAN 后 ， 
需 将 Sub-VLAN 关联 到 该 Super-VLAN 中 。Super-VLAN 并 不 包含 任何 物理 接口 ， 它 只 
用 于 将 Sub-VLAN 进行 聚合 ， 并 且 提 供 对 应 的 三 层 接 口 (VLANIF)。 

。 Sub-VLAN:Sub-VLAN 必须 被 关联 到 对 应 的 Super-VLAN, 也 就 是 被 Super-VLAN 
聚合 ， 因 此 Sub-VLAN 类 似 “ 子 VLAN” 的 概念 。 网 络 管理 员 可 以 向 Sub-VLAN 中 添加 
物理 接口 ， 但 是 不 能 创建 Sub-VLAN 对 应 的 VLANIF 。 同 一 个 Super-VLAN 内 的 
Sub-VLAN 之 间 彼 此 依然 二 层 隔离 , 但 是 这 些 Sub-VLAN 共用 Super-VLAN 的 VLANIE， 
也 就 是 说 ， 所 有 Sub-VLAN 内 的 主机 使 用 相同 的 IP 网 段 ， 并 且 这 些 主机 都 可 以 将 缺 省 
网 关 设 置 为 Super-VLAN 的 VLANIF。 

在 图 8-44 所 示 的 网 络 中 ， 网 络 管理 员 部 车 了 VLAN 聚合 ， 其 中 VLAN100 是 Super- 
VLAN， 而 VLAN11、12 及 13 是 该 Super-VLAN 的 Sub-VLAN。VLANI11、12 及 13 内 
都 拥有 一 定数 量 的 主机 ， 这 些 主机 都 使 用 192.168.8.0/24 地 址 段 ， 它 们 能 够 与 相同 Sub- 
VLAN 内 的 主机 进行 二 层 通信 ， 但 是 缺 省 情况 下 ， 无 法 与 其 他 Sub-VLAN 中 的 主机 直接 
通信 。 网 络 管理 员 在 CoreSwitch 上 创建 了 Super-VLAN100 的 YLANIF， 该 三 层 接口 的 
地 址 将 作为 所 有 Sub-VLAN 内 主机 的 缺 省 网 关 ， 当 主机 需要 访问 外 部 网 络 时 ， 流 量 首先 
被 发 往 VLANIF100， 再 由 CoreSwitch 转发 出 去 。 当 Sub-VLAN 内 的 主机 数量 增加 时 ， 
例如 VLAN11 内 需要 增加 两 台 主 机 ， 那 么 这 两 台新 增 的 主机 可 以 直接 使 用 例如 192.168. 
8.81/24、192.168.8.82/24 这 样 的 空闲 地 址 ， 因 此 网 络 的 可 扩展 性 是 比较 高 的 。 


8.5.1 案例 : VLAN 聚合 基础 配置 


我 们 将 在 图 8-45 的 网 络 中 部 署 VLAN 聚合 ， 将 VLAN100 指定 为 Super-VLAN, 在 
CoreSwitch 上 配置 其 VLANIF 作为 PC 的 默认 网 关 ; 将 VLAN11 及 VLAN12 指定 为 
VLAN100 的 Sub-VLAN。 


CoreSwitch VLANIF100: 192.168.8.254/24 





PC1 192.168.8.1/24 PC2 192.168.8.2/24 PC11 192.168.8.11/24 PC12 192.168.8.12/24 


Sub-VLAN 11 | : Sub-VLAN 12 


» , * 
* » 
WT 检讨 生 六 症 站 用 六 闪 认 亲生 天 用 六 介 全 全 关 闪 六 才 骨 冰 守恒 汪 站 认 放 尖 生 基 仙 亲人 币 六 六 和 种 必 汪 六 利 放 入 


SW1 的 配置 如 下 : 
[SWilvanbatchll 
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[SW Jjinterface GigabitEthernet 0/0/1 
[SW1-GigabitEthernet0/0/1]port link-type access 
[SW1-GigabitEthernet0/0/1 jport default vlan 11 
[SW1-GigabitEthernet0/0/1]quit 

[SW Jinterface GigabitBthernet 0/0/2 
[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthernet0/0/2]port defauit vlan 11 
[SW1-GigabitEthernet0/0/21quit 

[SW 1jinterface GigabitEthernet 0/0/24 
[SWI1-GigabitEthernet0/0/24]port link-type trunk 
[SW1-GigabitEthernet0/0/24]port trunk allow-pass vlan 11 
SW2 的 配置 如 下 : 

[SW2]vlan batch 12 

[SW2]interface GigabitEthernet 0/0/1 
[SW2-GigabitEthemet0/0/11port link-type access 
[SW2-GigabitEthernet0/0/1 J]port default vlan 12 
[SW2-GigabitEthernet0/0/1]quit 

[SW2]interface GigabitEthernet 0/0/2 
[SW2-GigabitEthemet0/0/2]port link-type access 
[SW2-GigabitEthernet0/0/2]port default vlan 12 
[SW2-GigabitEthernet0/0/2]quit 

[SW2]interface GigabitEthernet 0/0/24 
[SW2-GigabitEthemet0/0/24Jport link-type trunk 
[SW2-GigabitEthernet0/0/24]port trunk allow-pass vlan 12 
CoreSwitch 的 配置 如 下 : 

# 创 建 Sub-VLAN: 

[CoreSwitch]vlan batch 11 12 


# 创 建 Super-VLAN100， 并 将 VLANI11 及 12 指定 为 VLAN100 的 Sub-VLAN: 
[CoreSwitch]vlan 100- ee 
[CoreSwitch-vlan100]aggregate-vlan # 将 VLAN100 设置 为 Super-VLAN 
[CoreSwitch-vlan100]access-vian 11 12 


# 配 置 Super-VLAN 的 VLANIF: 
[CoreSwitchjinterface Vlanif 100 
[CoreSwitch-Vlanifl00]ip address 192.168.8.254 24 


# 完 成 物理 接口 的 基础 配置 : 

[CoreSwitchjinterface GigabitEthernet 0/0/23 
[CoreSwitch-GigabitEthernet0/0/23]port link-type trunk 
[CoreSwitch-GigabitEthernet0/0/23]port trunk allow-pass vlan 11 
[CoreSwitch-GigabitEthernet0/0/23]quit 

[CoreSwitch]interface GigabitEthernet 0/0/24 
[CoreSwitch-GigabitEthernet0/0/24]port link-type trunk 
[CoreSwitch-GigabitEthernet0/0/24]port trunk allow-pass vlan 12 


在 CoreSwitch 的 配置 中 ,我们 首先 创建 了 Sub-VLAN11 及 12， 随 后 创建 了 VLAN100， 
在 该 VLAN 的 配置 视图 下 ，aggregate-vlan 命令 用 于 将 其 指定 为 聚合 VLAN， 而 access- 
vlan 命令 则 用 于 将 Sub-VLAN 添加 到 该 聚合 VLAN 中 。 

完成 上 述 配 置 后 ,相同 Sub-VLAN 内 的 主机 之 间 可 以 直接 通信 。 例如 PC1 可 以 直接 
与 PC2 进行 二 层 通信 ， 而 所 有 的 PC 如 果 需 要 发 送 数据 到 外 部 网 络 ， 则 流量 首先 会 到 达 
VLANIF100， 再 由 CoreSwitch 负责 将 流量 转发 出 去 。 有 一 点 需要 强调 的 是 ， 缺 省 情况 下 ， 
不 同 Sub-VLAN 的 PC 之 间 是 无 法 互 访 的 ， 在 本 例 中 ，PC1 无 法 与 PC11 或 PC12 互 访 。 


第 8 章 以 太 网 交换 415 


众所周知 ， 不 同 的 Sub-VLAN 之 间 二 层 隔 离 ， 因 此 要 实现 Sub-VLAN 之 间 的 通信 ， 必 须 
音 助 三 层 设 备 ， 例 如 图 中 的 CoreSwitch 。 

假设 PC1 需要 发 送 数据 给 PC11，PC1 发 现 目的 全 地 址 192.168.8.11 与 本 机 网 卡 在 
同一 个 IP 网 段 内 ， 因 此 它 认 为 目的 PC 与 自己 处 于 同一 个 二 层 网 络 ， 于 是 它 癌 网 络 中 发 
送 一 个 广播 的 ARP Request, 试图 获得 PC11 的 MAC 地 址 。 这 个 广播 数据 帧 会 在 VLAN11 
内 泛 洪 ， 但 是 不 会 到 达 VLAN12， 因 此 PC11 永远 无 法 收 到 这 个 数据 帧 ， 更 加 不 会 回应 
它 ， 于 是 PC1 无 法 将 到 达 PC11 的 数据 帧 发 出 。 此 时 可 以 通过 在 CoreSwitch 上 激活 
Super-VLAN 的 VLANIF (VLANIF100) 的 代理 ARP 功能 来 解决 这 个 问题 。 

CoreSwitch 增加 如 下 配置 : 





Se z 
在 以 上 配置 中 ，arp-proxy inter-sub-vlan-proxy nal 命令 用 于 将 VLANIF100 的 代 
理 ARP 功能 激活 ， 这 样 一 来 ， 当 VLANIF100 收 到 PC1 发 送 的 该 ARP Request 后 ， 它 将 
使 用 ARP Reply 进行 回应 , 将 自己 的 MAC 地 址 告知 对 方 , PC1 收 到 该 回应 后 , 创建 ARP 
表 项 , 将 192.168.8.11 与 CoreSwitch 的 VLANIF100 的 MAC 地 址 进行 绑 定 ， 然 后 它 将 到 
达 PC11 的 数据 帧 发 给 CoreSwitch， 后 者 将 该 帧 转发 到 PC11。 完 成 以 上 配置 后 ， 
Sub-VLAN11 及 12 之 间 即 可 实现 通信 。 


8.6 ”企业 交换 网 络 


以 太 网 交换 技术 在 企业 园区 网 络 中 有 着 广泛 的 应 用 。 传 统 的 企业 园区 网 络 通常 采用 
三 层 架 构 ， 如 图 8-46 所 示 。 





图 8-46 ”典型 的 园区 网 三 层 结构 
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e。 接 入 层 (Access Layer) 

接 入 层 可 被 视 为 网 络 的 边界 ， 主 要 的 功能 是 提供 终端 用 户 接 入 网 络 的 入 口 ， 它 负责 
将 终端 用 户 发 往外 部 网 络 ， 或 者 发 往 其 他 VLAN 的 流量 上 交 给 汇聚 层 处 理 。 一 个 典型 园 
区 网 络 的 接 入 层 往往 连接 着 多 种 终端 设备 ， 例 如 PC、 服务器、 网 络 打印 机 、 无 线 AP 
(Wireless Access Point， 无 线 接 入 点 ) 等 。 

工作 在 接 入 层 的 设备 主要 是 接 入 层 交 换 机 ， 这 些 交 换 机 通常 仅 具 备 二 层 功 能 。 在 接 
入 层 交 换 机 上 应 用 的 技术 主要 有 VLAN、Trunk、 生 成 树 〈 本 书 将 在 “STP” 一 章 中 介绍 - 
该 技术 )、Smart Link 等 ， 另 外 可 能 也 会 应 用 一 些 安全 技术 ， 例 如 ACL (Access Control 
List， 访 问 控制 列表 )、 接 口 安 全 技术 (本 书 将 在 “以 太 网 安全 ”一 章 中 介绍 该 技术 )、 
NAC (Network Admission Control， 网 络 接 入 控制 ) 等 。 由 于 大 型 网 络 中 ， 终 端 设备 的 数 
量 比较 大 ， 因 此 网 络 中 的 接 入 层 交 换 机 势必 非常 多 ， 如 何 有 效 地 管理 这 些 交 换 机 便 是 网 
络 设计 者 和 管理 者 不 得 不 考虑 的 问题 ， 使 用 堆 著 (Stacking) 技术 可 以 将 多 台 物 理 交 换 机 
组 合成 一 个 整体 ， 形成 一 台 具 体 更 高 接口 密度 的 “大 交换 机 ”， 这 不 但 人 简化 了 网 络 的 管理 
方式 ， 也 使 网 络 的 逻辑 拓扑 更 加 简单 。 

e。 汇聚 层 (Aggregation Layer) 

汇聚 层 顾 名 思 义 是 流量 的 汇聚 地 ， 通 常 是 终端 设备 的 默认 网 关 所 在 。 三 层 交 换 机 通 
常 被 部 署 在 汇聚 层 ， 而 这 些 交 换 机 将 作为 各 个 用 户 VLAN 的 终结 点 (来自 终 亲 设备 的 二 
层 流 量 在 这 里 终止 ) 以 及 默认 网 关 。 

内 网 中 各 个 VLAN 之 间 的 数据 互通 是 在 汇聚 层 实现 的 。 正 如 上 文 所 说 ,汇聚 层 的 交 
换 机 通常 作为 终端 设备 的 默认 网 关 ， 它 们 通过 配置 VLANIF 提供 服务 。 由 于 网 关 设 备 地 
位 非常 关键 ， 因 此 其 可 靠 性 的 保障 是 非常 有 必要 的 。 一 般 而 言 ， 在 典型 的 园区 网 络 中 ， 
在 汇聚 层 通 常会 采用 多 台 汇 聚 层 交换 机 实现 宛 余 。 在 中 小 型 组 网 中 ， 采 用 两 台 交换 机 实 
现 网 关 见 余 是 较为 常见 的 ， 例 如 图 8-46 中 的 SW1 及 SW2， 这 两 台 交 换 机 可 以 通过 例如 
VRRP (Virtual Router Redundancy Protocol， 虚 拟 路 由 器 见 余 协议 。 本 书 将 在 “VRRP” 
一 章 中 介绍 ) 这 样 的 技术 实现 热 备份 。 

大 多 数 情 况 下 ， 接 入 层 交 换 机 与 汇聚 层 交 换 机 构成 一 个 园区 网 络 中 的 二 层 交 换 网 
络 。 为 了 保证 网 络 的 高 可 靠 性 ， 接 入 层 交 换 机 与 汇聚 层 交 换 机 之 间 往 往 通 过 元 余 的 链 路 
互联 ， 如 此 一 来 ， 便 在 交换 网 络 中 引入 了 二 层 环 路 ， 如 何 解决 二 层 环 路 问题 并 保证 网 络 
的 高 可 靠 性 是 一 个 重要 的 技术 课题 ， 本 书 将 在 “STP” 一 章 中 介绍 相关 内 容 。 

另外， 汇 从 层 也 是 接 入 层 与 核心 层 之 间 的 桥 染 ， 当 终端 设备 需要 访问 网 络 外 部 ， 或 
者 访问 位 于 核心 层 的 重要 设备 (例如 服务 器 资源 ) 时 , 汇聚 层 负 责 将 流量 路 由 到 核心 层 ， 
因此 汇聚 层 的 设备 还 需 部 署 路 由 协议 ， 与 核心 层 的 设备 交互 路 由 信息 。 汇 聚 层 交 换 机 与 
核心 层 交 换 机 之 闻 往 往 会 组 建 三 层 交 换 网 络 。 

e。 核心 层 (Core Layer) 

核心 层 是 网 络 的 骨干 , 在 许多 中 小 型 的 园区 网 络 中 , 核心 层 与 汇聚 层 常 被 合 二 为 一 ， 
但 在 大 型 的 园区 网 络 中 , 可 能 涉及 多 个 网 络 区 块 , 这 些 网 络 区 块 都 使 用 各 目的 汇聚 设备 ， 
在 这 种 场景 下 ， 核 心 层 就 是 必须 的 了 ， 它 负责 将 各 个 区 块 的 汇聚 层 连 接 起 来 ， 实 现 区 块 
之 间 的 数据 交互 。 核 心 层 负 责 高 速 的 数据 转发 ， 而 且 必 须 充分 考虑 高 可 靠 性 、 高 容错 性 
等 等 方面 的 设计 。 
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8.7 ”习题 


1 


( 单 选 ) 以 下 MAC 地 址 中 ， 是 组 播 MAC 地 址 的 是 (  ) 


A. 
(, 


0025-9efb-1954 B. 384c-4f65-b602 
0100-Sefc-aa01 D. a000-bf57-2412 


2.( 单 选 ) 以 下 关于 VLAN 的 描述 ， 错 误 的 是 (  ) 


3 


4. 


A 
B. 
om 
D. 


VLAN 可 以 隔绝 广播 ， 一 个 VLAN 是 一 个 独立 的 广播 域 。 

不 同 VLAN 的 设备 ， 如 果 使 用 同一 IP 网 段 的 他 地 址 ， 也 可 实现 二 层 互通 。 
不 同 的 VLAN 之 间 通 常 无 法 直接 互通 ， 需 借助 具备 路 由 功能 的 设备 。 
VLAN 主要 在 交换 机 上 实现 。 


( 单 选 ) 以 下 关于 交换 机 基本 工作 原理 的 摘 述 ， 错 误 的 是 (  ) 


A. 


B. 


Cx 


D. 


每 台 交 换 机 都 会 维护 MAC 地 址 表 ，MAC 地 址 表 项 会 罗列 出 MAC 地 址 、 
VLAN-ID 以 及 接口 等 信息 的 关联 情况 。 

当 交 换 机 收 到 一 个 目的 MAC 地 址 未 知 的 单 播 数 据 帧 时 ， 它 会 将 该 数据 帧 进 
行 泛 洪 ， 所 谓 的 泛 洪 也 就 是 将 数据 帧 从 交换 机 的 所 有 接口 都 发 送出 去 ， 其 中 
包括 收 到 该 帧 的 接口 。 

当 交 换 机 收 到 一 个 广播 数据 帧 时 ， 它 会 将 数据 帧 在 加 入 了 相同 VLAN 的 接口 
上 进行 泛 洪 。 

如 果 交 换 机 MAC 地 址 表 出 现 率 乱 , 那么 势必 影响 交换 机 的 数据 帧 转发 功能 ， 
有 可 能 导致 网 络 通信 出 现 问 题 。 


(多 选 ) 以 下 关于 交换 机 二 层 接口 类 型 的 描述 ， 正 确 的 是  ) 


A. 
3。 


Gs 
D. 


交换 机 的 二 层 接口 类 型 有 Access、Trunk 及 Hybrid。 

Access 接口 只 能 加 入 一 个 VYLAN， 而 Trunk 及 Hybrid 接口 则 可 以 允许 多 个 
VLAN 的 流量 通过 。 

Trunk 接口 缺 省 允许 VLANI 的 流量 通过 ， 而 且 以 无 标记 帧 的 形式 接收 及 发 送 。 
在 Hybrid 接口 上 可 通过 命令 指定 接口 在 发 送 特定 VLAN 的 流量 时 ， 是 人 否 的 
市 Tag。 


5. 在 图 8-47 中 ，PC1 与 PC2 是 否 能 够 正常 通信 (图 中 没有 明确 描述 的 配置 均 采 用 
缺 省 配置 ) ? 


port link-type trunk 
port trunk allow=pass vlan 10 


port link-type access port trunk pvid vlan 10 


GEO/0/24 












port link-type hybrid 
port hybrid pvid vlan 10 
port hybrid untagged vlan 10 


192.168.10,1/24 192.168,.10.2/24 


图 8-47 判断 PC1 与 PC2 是 否 能 够 正常 通信 
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9.1 MAC 地 址 表 的 配置 及 管理 


MAC 地 址 表 是 交换 机 进行 数据 帧 转发 时 所 使 用 的 一 个 非常 关键 的 数据 表 。 每 一 人 台 
交换 机 都 会 维护 自己 的 MAC 地 址 表 ， 掌 握 MAC 地 址 表 的 相关 配置 及 管理 是 非常 有 必 

1， 查 看 MAC 地 址 表 

在 华为 交换 机 上 , 使 用 display mac-address 命令 可 查看 设备 的 MAC 地 址 表 。 图 9-1 
中 ， 查 看 SW1 的 MAC 地 址 表 可 能 会 看 到 如 下 输出 : 


<SW1>display mac-address 

MAC Address VLAN/VSI Learned-From Type 

4clf-ccab-ea87 200/- Eth-Trunkl dynamic 

5489-985b-17af 10/- GE0/0/1t dynamic 
5489-987e-10d0 20/- GE0/0/2 dynamic 





NY G 
SS > 4clf-ccab-ea87 
> 22。 clf-ccab-ea8 
PC (VLAN10) Server (VLAN20) 
5489-985b-]17af $5489-987e-10d0 


图 9-1 查看 MAC 地 址 表 


从 SW1 的 MAC 地 址 表 可 以 看 出 ， 其 GE0/0/1 接口 在 VLAN10 中 连接 着 一 台 设 备 ， 
该 设备 的 MAC 地 址 为 5489-985b-17af( 图 中 的 PC)， 其 GE0/0/2 接口 连接 着 一 台 加 入 
VLAN20 的 设备 (图 中 的 Server)， 其 MAC 地 址 为 S489-987e-10d0。 另 一 方面 SW1 与 
SW2 之 间 还 部 署 了 链 路 聚合 技术 (Link Aggregation)， 这 使 得 SW1 与 SW2 之 间 的 多 个 
互联 接口 被 聚合 成 一 个 逻辑 接口 (Eth-trunk1)。 从 SW1 的 MAC 地 址 表 可 以 看 出 ， 其 
Eth-trunkl 接口 连接 着 一 台 处 于 VLAN200 的 设备 ， 且 该 设备 的 MAC 地 址 为 
4clf-ccab-ea87， 这 是 SW2 的 MAC 地址。 

因此 ， 当 这 些 设备 之 间 需 要 相互 通信 时 ， 数 据 帧 在 到 达 SW1 后 ，SW1 便 可 通过 查 
询 MAC 地 址 表 进 行 数 据 转发 。 

2. 配置 动态 MAC 表 项 的 老化 时 间 

在 图 9-1 中 ， 初 始 时 ，SW1 的 MAC 地 址 表 是 空 的 ， 随 着 网 络 中 的 各 台 设 备 陆续 开 
始 发 送 数据 ， 交 换 机 也 在 各 个 接口 上 学 习 MAC 地 址 ， 并 持续 维护 自己 的 MAC 地 址 表 。 
当 网 络 稳定 后 ， 我 们 便 能 够 在 SW1 的 MAC 地 址 表 中 看 到 PC、Server 以 及 SW2 的 MAC 
地 址 ， 而 这 些 MAC 地 址 表 项 都 是 动态 的 〈 类 型 为 dynamic)。 一 个 动态 的 MAC 地 址 表 
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项 被 加 载 到 交换 机 的 MAC 地 址 表 后 ， 其 老化 计时 器 也 就 随即 启动 ， 并 开始 倒计时 ， 当 
该 计时 器 计数 到 0 时， 这 个 MAC 表 项 将 被 删除 。 在 交换 机 每 收 到 一 个 数据 帧 时 ，MAC 
地 址 表 中 与 该 数据 帧 的 源 MAC 地 址 对 应 的 表 项 也 会 被 刷新 ， 该 表 项 的 老化 计时 器 将 被 
复位 并 重新 开始 倒计时 。 

华为 的 交换 机 缺 省 的 动态 MAC 地 址 表 项 老化 时 间 为 300s， 在 系统 视图 下 执行 
mac-address aging-time 命令 可 修改 动态 MAC 表 项 的 老化 时 间 。 在 实际 的 网 络 中 不 建议 
随意 修改 该 老化 时 间 。 

3. 配置 静态 MAC 表 项 

我 们 已 经 知道 交换 机 的 MAC 地 址 学 习 过 程 是 目 动 进行 的 ， 所 学 习 到 的 MAC 地 址 
表 项 是 动态 的 ， 这 在 某 种 场景 下 是 不 可 靠 的 。 以 图 9-1 所 示 的 场景 为 例 ， 假 设 SW1 的 
GE0/0/3 接口 连接 一 台 PC， 该 PC 以 Server 的 MAC 地 址 为 源 进行 数据 帧 伪造 ， 然 后 持 
续 不 断 地 向 交换 机 发 送 这 些 非法 的 数据 帧 , 那么 在 SW1 的 MAC 地 址 表 中 , 关于 该 MAC 
地 址 的 表 项 将 会 不 断 地 在 GE0/0/3 及 GE0/0/2 之 间 来 回 出 现 ， 这 种 现象 被 称 为 “MAC 地 
址 漂移 ”。 可 以 肯定 的 是 ， 当 交换 机 将 这 个 MAC 地 址 关联 到 GE0/0/3 接口 时 ， 所 有 发 往 
Server 的 数据 帧 将 无 法 准确 地 到 达 目 的 地 ， 业 务 势 必 会 受到 影 啊 。 

通过 为 SW1 配置 静态 MAC 表 项 可 以 规避 上 述 问 题 。SW1 的 配置 如 下 : 

[SWI]jmac-address static 5489-987e-10d0 GigabitEthernet 0/0/2 vlan 20 

上 述 命 令 为 SW1 创建 了 一 个 静态 〈Static) 的 MAC 表 项 ， 完 成 上 述 配置 后 再 来 看 
看 SW1 的 MAC 地 址 表 : : 


<SW1>display mac-address 

MACAddress ~ VLAN/VSI Learned-From Type 

ST Eth-Trunki dai 
5489-985b-17af 10/- GE0/0/1 I dynamic 
$489-987e-10d0 ) \ | GE0/0/2 static 


Totali items Dd 3 
SW1 的 MAC 地 址 表 中 出 现 了 一 个 静态 的 表 项 ， 静态 的 MAC 表 项 是 永远 不 会 被 老 
化 的 , 而 且 其 优先 级 比 动态 表 项 更 高 , 这 样 一 来 , 当 SW1 再 从 GE0/0/3 接口 收 到 以 Server 
的 MAC 地 址 为 源 的 数据 帧 时 ，SW1 会 将 这 些 数据 帧 丢弃 。 因 此 ， 通 过 设置 静态 MAC 
表 项 ， 可 以 确保 与 交换 机 固定 连接 的 可 信任 节点 的 安全 通信 。 
4. 限制 MAC 地址 学 习 数 量 
交换 机 MAC 地 址 表 的 容量 是 有 限 的 ， 当 网 络 中 存在 MAC 地 址 泛 洪 攻 击 时 ， 交 换 
机 的 MAC 地 址 表 可 能 会 瞬间 被 大 量 垃 圾 MAC 地 址 表 项 填 满 ， 在 很 短 的 时 间 内 ，MAC 


” 地址 表 项 资源 可 能 就 会 被 耗 尽 , 因此 当 交 换 机 收 到 合法 的 数据 帧 时 ， 就 无 法 再 进行 MAC 


地 址 学 习 了 ， 数 据 帧 的 转发 必 将 产生 问题 。 为 了 应 对 这 个 问题 ， 可 以 在 交换 机 上 限制 
MAC 地 址 学 习 数 量 ， 当 MAC 地 址 数量 达到 所 设 的 上 限时 ， 它 将 不 再 学 习 MAC 地 址 。 

在 特定 接口 的 配置 视图 下 : 

e 执行 mac-limit maximum max-num 命令 ， 可 限制 该 接口 的 MAC 地址 学 习 数 量 。 
参数 max-num 的 取 值 范围 是 〈0 一 32767 )。 

e。 执行 mac-limit action { discard | forward } 命 令 ， 可 配置 当 MAC 地 址 数量 达到 限 
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制 后 ， 交 换 机 对 数据 帧 执行 的 操作 。 这 条 命令 有 两 个 可 选 参数 ， 可 选 参数 如 下 所 示 。 
图 当 指 定 的 action 为 discard 时 ， 在 MAC 地 址 表 项 数量 达到 限制 后 ， 若 该 接口 
收 到 的 数据 帧 的 源 MAC 地 址 为 新 的 MAC 地 址 时 ， 丢 弃 这 些 帧 。 缺 省 时 ，action 为 discard。 
国 当 指 定 的 action 为 forward 时 ， 在 MAC 地 址 表 项 数量 达到 限制 后 ， 若 该 接口 
收 到 的 数据 帧 的 源 MAC 地 址 为 新 的 MAC 地 址 时 ， 转 发 这 些 帧 ， 但 是 不 记录 MAC 地 
址 表 项 。 
e。 执行 mac-limit alarm { disable | enable } 命令 , 可 配置 当 MAC 地 址 数量 达到 限制 
后 是 否 进行 告警 ， 如 果 在 该 命令 中 使 用 enable 关键 字 ， 则 当 MAC 地 址 数量 达到 限制 后 
进行 告警 ; 如 果 使 用 disable 关键 字 ， 则 不 告警 。 缺 省 时 ， 交 换 机 会 进行 告警 。 
交换 机 还 支持 基于 VLAN 限制 MAC 地 址 学 习 数 量 ， 以 及 基于 覃 位 限制 MAC 地 址 
学 习 数量 ， 此 处 不 再 获 述 。 


9.2 接口 安全 


图 9-2 展示 的 是 一 个 对 安全 性 要 求 较 高 的 网 络 ， 某 企业 搭建 了 这 个 网 络 。 员 工 将 该 
企业 分 配 的 PC 连接 到 接 入 层 交 换 机 (Access-Switch) 上 ， 从 而 获得 与 核心 网 络 (Core 
Network) 的 IP 连通 。 企 业 期 望 在 接 入 层 交 换 机 上 对 员工 用 户 进 行 基 本 的 安全 管控 。 出 
于 安全 考虑 ， 企 业 要 求 接 入 层 交 换 机 上 每 个 连接 终端 设备 的 接口 均 只 允许 一 台 PC 接 入 
网 络 ， 也 就 是 说 ， 如 果 有 用 户 试图 在 某 个 接口 下 级 联 一 台 小 型 交换 机 或 者 集线器 从 而 扩 - 
展 上 网 接口 ， 那 么 这 种 行为 应 该 被 发 现 而 且 被 禁止 。 另 外 ， 只 有 可 信赖 的 终端 发 送 的 数 
据 帧 才 允 许 被 交换 机 转发 到 上 层 网 络 ， 员 工 不 能 私下 更 换 位 置 〈 将 PC 从 接 入 层 交 换 机 
的 某 个 接口 变更 至 其 他 接口 )。 







Core-Switch 


Access-Switch 1 > Access-Switch /NV 
A ~ se 
> 





PC pC PC PC 
图 9-2 对 交换 机 接口 安全 的 需求 


接口 安全 (Port Security) 可 用 于 实现 上 述 需求 。 通 过 在 交换 机 的 特定 接口 上 部 署 接 
口 安全 ， 可 以 限制 接口 的 MAC 地 址 学 习 数 量 ， 并 配置 当 出 现 违规 行为 时 的 惩罚 机 制 。 
为 外 ， 部 着 了 Port Security 的 接口 可 以 将 其 学 习 到 的 MAC 地 址 变 为 安全 MAC 地 址 ， 从 
而 阻止 除了 安全 地 址 之 外 的 其 他 MAC 地 址 通过 该 接口 接 入 网 络 。 
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Port Security 接口 开始 工作 后 ,会 解析 交换 机 在 接口 上 收 到 的 数据 帧 的 源 MAC 地 址 ， 
并 进行 MAC 地 址 学 习 ， 学 习 到 的 MAC 地 址 会 被 交换 机 转换 为 动态 安全 MAC 地 址 ， 该 
接口 将 只 允许 这 些 MAC 地 址 接 入 网 络 。 当 交换 机 接口 学 习 到 的 MAC 地 址 达到 Port 
Security 设置 的 上 限 后 , 交换 机 将 不 在 该 接口 上 继续 学 习 MAC 地 址 ， 因 此 其 他 非 信任 的 
终端 将 无 法 通过 该 接口 进行 通信 。 动 态 安全 MAC 地 址 表 项 是 不 会 被 老化 的 ， 但 是 交换 
机 重启 后 ， 这 些 MAC 地 址 表 项 将 丢失 ， 因 此 交换 机 不 得 不 重新 学 习 动 态 安全 MAC 地 
址 。 另 一 种 安全 MAC 地 址 表 项 是 Sticky MAC 表 项 ， 这 种 表 项 也 是 不 会 被 老化 的 ， 而 且 
若 交 换 机 保存 配置 后 重启 ， 表 项 也 不 会 丢失 。 


9.2.1 案例 1: 接口 安全 基础 配置 


在 图 9-3 中 ， 我 们 将 在 SW 上 部 署 Port Security， 将 GE0/0/1 至 GE0/0/3 接口 都 激活 
Port Security。 其 中 GE0/0/1 及 GE0/0/2 接口 将 学 习 MAC 地 址 的 数量 限制 为 1， 即 这 两 
个 接口 各 自 只 允许 连接 一 台 PC。 当 该 接口 连接 其 他 PC 时 ， 交 换 机 需 发 出 告警 ， 且 要 求 
此 时 接口 依然 能 够 正常 转发 合法 PC 的 数据 帧 。 另 外 ，GE0/0/3 接口 将 学 习 MAC 地 址 的 
数量 限制 为 2， 并 且 当 学 习 到 的 MAC 地 址 数 超 出 接口 限制 数 时 ， 交 换 机 需 发 出 告警 并 
将 该 接口 关闭 。 





eh a 
图 9-3 ”接口 安全 的 基础 配置 


SW 的 配置 如 下 : 

[SWJinterface GigabitEthernet 0/0/1 
[SW-GigabitEthernet0/0/1]port-security enable 
[SW-GigabitEthernet0/0/1]port-security max-mac-num 1 
[SW-GigabitEthernet0/0/1 ]port-security protect-action restrict 
[SW-GigabitEthemet0/0/LJquit 

[SW]interface GigabitEthernet 0/0/2 
[SW-GigabitEthemet0/0/2]port-security enable 
[SW-GigabitEthernet0/0/2]jport-security max-mac-num 1 
[SW-GigabitEthernet0/0/2]port-security protect-action restrict 
[SW-GigabitEthernet0/0/2]quit 

[SWl]interface GigabitEthemet 0/0/3 
[SW-GigabitEthernet0/0/3]lport-security enable 
[SW-GigabitEthernet0/0/3]port-security max-mac-num 2 
[SW-GigabitEthernet0/0/3]port-security protect-action shutdown 
在 上 述 配 置 中 ， 在 接口 视图 下 配置 的 port-security enable 命令 用 于 将 该 接口 设置 为 
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安全 接口 。 而 port-security max-mac-num 1 命令 用 于 配置 该 接口 的 动态 安全 MAC 地 址 
学 习 限 制 数 量 ， 该 条 命令 是 可 选 的 ， 如 果 不 配 置 这 条 命令 ， 则 该 接口 缺 省 的 动态 安全 
MAC 地 址 学 习 限 制 数 为 1。 男 外 ，port-security protect-action 命令 用 于 配置 当 接 口 学 习 
到 的 MAC 地 址 数 达 到 限制 后 的 保护 动作 ， 这 条 命令 后 面 有 三 个 可 选 关 键 字 如 下 。 

e。 protect: 当 该 安全 接口 学 习 到 的 MAC 地 址 数量 达到 限制 数量 时 ， 它 将 丢弃 源 
MAC 地 址 不 与 该 接口 的 安全 MAC 地 址 匹配 的 数据 帧 。 

e restrict: 当 该 安全 接口 学 习 到 的 MAC 地 址 数量 达到 限制 数量 时 ， 它 将 丢弃 源 . 
MAC 地 址 不 与 该 接口 的 安全 MAC 地 址 匹配 的 数据 帧 ， 同 时 发 出 告警 。 缺 省 即 为 restrict。 

。 shutdown: 当 该 安全 接口 学 习 到 的 MAC 地 址 数量 达到 限制 数量 时 ， 如 果 该 接口 
学 习 到 新 的 MAC 地 址 ， 它 将 被 立即 关闭 〈 置 为 Error-Down 状态 )， 同 时 设备 将 发 出 告警 。 

完成 上 述 配 置 后 , 当 PC1 及 PC2 接 入 SW 并 且 开 始 发 送 数据 时 , 在 SW 上 能 看 到 如 


下 输出 : 
[SW]display mac-address security 
MAC address table of slot 0: 
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID 
VSLSI MAC-Tunnel 
S489-981a-lbll 1 = - GE0/0/2 security <- 
5489-9808-7S0e 1 - ~ GEQ/0/1 security - 


Total matching items on Slot 0 displayed = 2 z 

SW 已 经 在 GE0/0/1 接口 上 学 习 到 PC1 的 MAC 地 址 5489-9808-750e， 在 GE0/0/2 
接口 上 学 习 到 PC2 的 MAC 地 址 S489-981a-lb11， 并 将 这 两 个 动态 MAC 地 址 表 项 转换 
成 了 安全 MAC 地 址 表 项 。 现 在 PC1 及 PC2 都 能 通过 相应 的 交换 机 接口 进行 通信 。 

现在 ， 我 们 将 PC1 进行 更 换 ， 将 其 他 的 终 疹 接 入 SW 的 GE0/0/1 接口 并 尝试 进行 通 
信 ， 当 这 台新 的 终端 发 送 的 数据 帧 到 达 SW 时 ，SW 解析 数据 帧 的 源 MAC 地 址 并 发 现 
该 MAC 地 址 与 GE0/0/1 接口 的 安全 MAC 地 址 表 项 不 符 ， 而 且 该 接口 已 经 达到 了 MAC 
地 址 学 习 数 量 的 上 限 ， 因 此 新 加 入 的 终端 将 触发 违例 惩 避 ， 由 于 GE0/0/1 接口 上 配置 的 
protect-action 是 restrict， 因 此 交换 机 会 丢弃 该 终 冰 发 送 的 数据 帧 ， 并 且 弹 出 如 下 告警 : 

Aug 5352015 17:45:56-08:00 SW L2IFPPI4/PORISEC ACTION ALARM:OID 1.3.6.1.4.1.2011 

6 Seer ee pe EO eee Om PE we CO et 仙人 全 全 全， 人 1. 


(lirestrict;2:protect;3:shutdown) 
接 下 来 ， 再 观察 一 下 SW 的 GE0/0/3 接口 ， 该 接口 连接 着 一 台 集 线 器 ，PC3 及 PC4 


通过 它 连 接 到 SW。 当 PC3 及 PC4 开始 发 送 数 据 时 ， 在 SW 上 可 观察 到 如 下 MAC 地 


址 表 : 
<SW>display mac-address 
MAC address table of slot 0: 
MAC Address VLANV PEVLAN CEVLAN Port Type LSP/LSR-ID 
VSLSI 4 MAC-Tunnel 
5489-981d-2f8a 1 = - GE0/0/3 security - 


5489-980c-S2ab 1 - - GE0/0/3 security - 
5489-981a-1b11 ] = - GE0/0/2 security - 
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5489-9808-75S0e 1 = = GE0/O/ security a 


Total matching items on slot 0 displayed = 4 

SW 在 GE0/0/3 接口 上 学 习 到 了 PC3 及 PC4 的 MAC 地 址 ， 并 且 将 这 两 个 地 址 转换 
成 了 安全 MAC 地 址 ， 此 时 该 接口 也 达到 了 安全 MAC 地 址 学 习 的 上 限 。 现 在 如 果 PC5 
也 连接 到 了 该 集 线 磺 ， 并 且 它 也 开始 发 送 数据 帧 到 SW， 那 么 当 SW 在 GE0/0/3 接口 上 
收 到 PC5 发 送 的 数据 帧 时 ， 它 将 解析 这 个 数据 帧 的 源 MAC 地 址 ， 并 发 现 该 MAC 地 址 
不 在 GE0/0/3 接口 的 安全 MAC 地 址 中 , 而 且 当前 该 接口 已 经 达到 了 安全 MAC 地 址 学 习 
数量 的 上 限 ， 由 于 该 接口 配置 的 保护 动作 是 shutdown， 因 此 SW 会 将 GE0/0/3 关闭 ， 并 
输出 如 下 告警 : 

Aug 52015 18:13:18-08:00 SW L2IFPPL4/PORTSEC _ ACTION ALARM:OID 1.3.6.1.4.1.201] 

.5.25.42.2.1.7.6 The number of MAC address on interface (8/8) GigabitEthernet0/0/3 reaches the limit, and the port status is : 3， 


(1:restrict;2:protect;3:shutdown) 
Aug 52015 18:13:19-08:00 SW %%01PHY/1/PHY(D[Oj: GigabitEthernet0/0/3; change status to down 


此 时 SW 的 MAC 地 址 表 如 下 : 


<SW>display mac-address 

MAC address table of slot 0: 

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID 
VSLSI . MAC-Tunnel 

5489-981a-lbli 1 a - GE0/0/2 Security 


5489-9808-750e 1 -~ - GE0/0/1 security 


Total matching items on slot 0 displayed = 2 
而 GE0/0/3 的 接口 状态 如 下 : 
<SW>display interface brief 
PHY: Physical 
*down: administratively down 
(1): loopback 
(s): spoofing 
(b): BFD down 
(e): ETHOAM down 
(dl): DLDP down 
(d): Dampening Suppressed 
InUti/OutUti: input utility/output utility 


Interface PY Protocol InUti OutUti inErrors outErrors 
GigabitEthemet0/0/1 up up 0% 0% 0 0 
GigabitEthernet0/0/2 up up 0% 0% 0 0 
GigabitEthernet0/0/3 *down down 0% Q% 0 0 
通过 查看 GE0/0/3 接口 的 当前 配置 可 以 发 现 该 接口 被 系统 自动 添加 了 一 条 shutdown 
命令 : 

<SW>display current-configuration interface GigabitEthernet 0/0/3 
interface GigabitEthernet0/0/3 

shutdown 

port-security enable 


port-security protect-action shutdown 
port-security max-mac-num 2 
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现在 ， 假 设 集线器 所 连接 的 用 户 知晓 了 和 上 自己 的 违例 行为 ， 并 且 进 行 了 纠正 : 将 新 增 
的 PC5 移 除 。 缺 省 情况 下 ， 处 于 Error-Down 状态 的 接口 状态 自动 恢复 为 Up 的 功能 并 未 
被 激活 ， 因 此 SW 的 GE0/0/3 将 一 直 处 于 Error-Down 状态 。 在 SW 的 系统 视图 下 配置 
error-down auto-recovery cause port-security interval 命令 可 以 激活 接口 自动 恢复 为 Up 
的 功能 , 该 命令 中 的 interval 关键 字 后 面 需 配置 相应 的 时 间 参 数 作为 接口 自动 恢复 为 Up 
的 延迟 时 间 。 例 如 在 交换 机 上 增加 如 下 配置 : 

[SW] error-down auto-recovery cause port-security interval 30 | We . 

那么 当 SW 由 于 感知 到 违例 行为 将 接口 GE0/0/3 切换 到 Error-Down 状态 后 , 如 果 违 
例 行 为 消除 ，SW 将 在 30 秒 后 自动 将 该 接口 恢复 到 Up 状态 。 注 意 ， 通 过 上 述 命令 所 设 
置 的 接口 自动 恢复 为 Up 的 功能 ， 对 于 已 经 处 于 Error-Down 状态 的 接口 不 生效 ， 只 对 配 
置 该 命令 后 发 生 Error-Down 的 接口 生效 。 如 果 想 要 让 接口 GE0/0/3 立即 恢复 到 Up 状态 ， 
可 以 进入 该 接口 的 配置 视图 ， 并 使 用 undo shutdown 命令 。 


9.2.2 案例 2: Sticky MAC 地 址 


在 交换 机 的 接口 激活 Port Security 后 ， 该 接口 上 所 学 习 到 的 合法 的 动态 MAC 地 址 
被 称 为 动态 安全 MAC 地 址 ， 这 些 MAC 地 址 缺 省 不 会 被 老化 〈 在 接口 视图 下 使 用 
port-security aging-time 命令 可 设置 动态 安全 MAC 地 址 的 老化 时 间 )， 然 而 这 些 MAC 
地 址 表 项 在 交换 机 重 局 后 会 丢失 ， 因 此 交换 机 不 得 不 重新 学 习 MAC 地 址 。 交 换 机 能 
将 动态 MAC 地 址 转换 成 Sticky MAC 地 址 ，Sticky MAC 地 址 表 项 在 交换 机 保存 配置 后 
重启 不 会 丢失 。 

在 图 9-4 中 ，SW 的 GE0/0/1、GE0/0/2 及 
GE0/0/3 都 用 于 连接 终端 PC。 现 在 我 们 将 在 这 
三 个 接口 上 部 署 Port Security， 对 于 GE0/0/1 
及 GE0/0/2 将 学 习 MAC 地 址 的 数量 限制 为 1， 
并 将 交换 机 在 这 两 个 接口 上 所 学 习 到 的 合法 : 
的 动态 安全 MAC 地 址 转化 为 Sticky MAC 地 pcr Be pe 






Co 
2 


址 ， 对 于 GE0/0/3 将 学 习 MAC 地 址 的 数量 限 5489-981d-2f8a 
制 为 1， 但 是 通过 手工 的 方式 为 该 接口 创建 一 图 9-4 Sticky MAC 地 址 
个 Sticky MAC 地 址 表 项 ， 将 该 接口 与 MAC 地 址 5489-981d-2f8a 进行 绑 定 。 

SW 的 配置 如 下 : 

[SWinterface GigabitEthernet 0/0/1 


[SW-GigabitEthernet0/0/1]port-security enable 
[SW-GigabitEthernet0/0/1]port-seciirity max-mac-num 1 

[SW-GigabitEthernet0/0/1]port-security mac-address sticky 
[SW-GigabitEthernet0/0/1]quit 
[SW]interface GigabitEthernet 0/0/2 gs 
[SW-GigabitEthernet0/0/2]port-security enable 
[SW-GigabitBthernet0/0/2]poit-security max-mac-num 1 
[SW-GigabitEthernet0/0/2]port-security mac-address sticky 
[SW-GigabitEthernet0/0/2]quit ~ 
[SWlinterface GigabitEthernet 0/0/3 
[SW-GigabitEthernet0/0/3]port-security enable 
[SW-GigabitEthemet0/0/3]port-security max-mac-num | 
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[SW-GigabitEthernet0/0/3]port-security mac-address sticky 
[SW-GQigabitEthernet0/0/3]port-security mac-address sticky 5489-981d-2f8a vlan 1 


在 以 上 配置 中 ,port-security mac-address sticky 命令 用 于 激活 该 接口 的 Sticky MAC 
功能 。 在 接口 激活 Sticky MAC 功能 后 ,交换 机 便 会 将 该 接口 学 习 到 的 动态 安全 MAC 地 
址 转换 为 Sticky MAC 地 址 。 当 然 ,您 也 可 以 在 接口 上 手工 配置 Sticky MAC 地 址 , GE0/0/3 
接口 上 所 配置 的 port-security mac-address sticky 5489-981d-2f8a vlan 1 命令 即 在 MAC 
地 址 表 中 为 该 接口 添加 一 个 Sticky MAC 地 址 表 项 。 

完成 上 述 配置 后 首先 得 看 一 下 交换 机 的 MAC 地址 表 : 


<SW>display mac-address 

MAC address table of slot 0: 

WA AN BEVLAN “CEVLAN et Type LSP/LSR-ID 
VSLSI MAC-Tunnel 

5489-981d-2f8a = 1 有 GE0/0/3 sticky 


CC CC CC 一 一 一 一 GC- 一 一 


Total matching items 0 on slot 0 displayed = 1 


从 以 上 输出 可 以 看 到 ， 交 换 机 的 MAC 地 址 表 中 己 经 存在 一 个 表 项 ， 而 且 该 表 项 是 
Sticky MAC 地 址 表 项 , 这 是 我 们 在 GE0/0/3 接口 上 手工 创建 的 。 此 时 PC3 已 经 能 够 通过 
交换 机 正常 通信 。 

接 下 来 , PC1 及 PC2 开始 同 交 换 机 发 送 数据 帧 , 当 这 些 数据 帧 到 达 交 换 机 的 GE0/0/1 
及 GE0/0/2 接口 后 ,交换 机 解析 这 些 数据 帧 的 源 MAC 地 址 并 在 MAC 地 址 表 中 形成 Sticky 
MAC 地 址 表 项 。 此 时 SW 的 MAC 地 址 表 如 下 所 示 : 


<SW>display mac-address 

MAC address table of slot 0: 

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID 
VSILSI MAC-Tunnel 

9 61d ya ee ol , 。 GE0/0/3 sticky 

$489-981a-1bl1 1 - - GE0/0/2 sticky 

5489-9808-7S0e 1 - - GEO/0/1 sticky 


GGG 人 CCC 


Total matching items on slot 0 displayed = 3 


现在 只 需 在 交换 机 上 执行 save 命令 保存 配置 即 可 ， 这 样 即使 交换 机 重启 ，Sticky 
MAC 地 址 表 项 也 不 会 丢失 。 


.9.3 MAC 地址 漂移 与 应 对 


对 于 一 个 园区 网 络 来 说 ， 区 换 机 是 一 个 非常 重要 且 币 见 的 设备 。 然 而 在 二 层 交 换 网 
络 的 组 建 过 程 中 很 容易 引发 各 种 问题 ， 网 络 设计 者 和 建设 者 需要 格外 留意 并 设法 解决 它 
们 。MAC 地 址 漂移 (MAC address flapping) 是 在 二 层 交 换 网 络 中 常见 的 问题 之 一 。 同 
一 个 MAC 地 址 在 交换 机 的 茶 个 接口 上 被 学 习 到 之 后 ， 又 在 相同 VLAN 的 为 一 个 接口 上 
学 习 到 ， 这 种 现象 被 称 为 MAC 地 址 迁移 ， 少 数 的 几 次 MAC 地 址 迁移 往往 并 不 被 认为 
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是 MAC 地 址 漂移 ， 例 如 运行 了 VRRP (Virtual Router Redundancy Protocol， 虚 拟 路 由 器 
宛 余 协议 ， 详 细 内 容 请 查阅 本 书 相 关 章 节 ) 的 路 由 器 在 发 生 主 备 切 换 时 ， 会 引发 MAC 
地 址 迁移 ， 而 这 被 视 为 正常 现象 ， 只 有 在 短 时 间 内 发 生 大 量 的 MAC 地 址 迁移 时 ， 才 被 
认为 是 MAC 地 址 漂移 。 当 然 ， 一 个 规划 合理 、 正 常 工作 的 网 络 是 不 会 在 短 时 间 内 出 现 
大 量 MAC 地 址 漂移 的 。 实 际 上 引发 MAC 地 址 漂移 现象 的 可 能 性 有 多 个 ， 例 如 网 络 中 
存在 二 层 环 路 ， 或 者 存在 攻击 行为 等 。 

在 图 9-5 中 ,网 络 管理 员 错 误 地 在 SW2 及 SW3 之 间 连 接 了 一 条 线 缆 ,， 而 SW1、SW2 
及 SW3 所 有 接口 都 加 入 了 相同 的 VLAN， 于 是 三 台 交 换 机 就 构成 了 一 个 三 角形 的 二 层 
环 路 。 当 PC1 要 发 送 数据 给 网 络 中 的 某 个 设备 时 ， 初 始 情况 下 它 会 以 广播 的 方式 有 友 送 一 
个 ARP Request 报 文 以 请 求 对 方 的 MAC 地 址 ， 来 看 看 接 下 来 会 发 生 什么 事情 。 

(1) PC1 发 送 的 ARP Request 到 达 了 SW1, SW1 读 取 数据 帧 头 部 , 发 现 其 目的 MAC 
地 址 为 ff-ffff-ffff， 于 是 意识 到 这 是 一 个 广播 数据 帧 ， 它 将 对 其 进行 泛 洪 。SW1 将 该 数 
据 帧 从 GE0/0/2 及 GE0/0/3 接口 转发 出 去 ， 与 此 同时 SW1 还 会 学 习 该 数据 帧 的 源 MAC 
地 址 5489-986e-29ad, 并 在 MAC 地 址 表 中 创建 一 个 表 项 , 该 MAC 地 址 被 关联 到 GE0/0/1 
接口 。 

(2) SW2 在 GE0/0/2 接口 收 到 SW1 泛 洪 的 ARP Request 后 ， 同 样 对 其 进行 泛 潜 ， 
它 将 该 数据 帧 从 GE0/0/44 接口 发 送出 去 , 与 此 同时 SW2 还 会 在 MAC 地 址 表 中 创建 一 个 
表 项 ， 记 录 该 帧 的 源 MAC 地 址 并 与 接口 GE0/0/2 关联 。 

(3) SW3 在 GE0/0/3 接口 收 到 SW1 泛 洪 的 ARP Request 后 ， 它 将 该 帧 从 GE0/0/4 
接口 发 送出 去 ， 并 学 习 该 帧 的 源 MAC 地 址 , 该 地 址 与 接口 GE0/0/3 关联 。 图 9-6 描述 了 
上 述 过 程 。 

PC1 


1.1.1.] 
5489-986e-29ad 





GEO/0/4 GEO/0/4 
SW2 SW3 
一 
误 接 的 线 缆 SW2 GEO/0/4 GEO0/0/4 SW3 
图 9-5 网 络 中 存在 二 层 环 路 图 9-6 广播 风暴 在 网 络 中 形成 '，MAC 地 址 漂移 现象 出 现 


(4) SW2 在 GE0/0/4 接口 上 收 到 ARP Request 数据 帧 ， 它 解析 数据 帧 的 源 、 目 的 
MAC 地 址 ， 由 于 数据 帧 的 目的 MAC 地 址 是 fEEE-ffEE-fff， 因 此 SW2 对 该 数据 帧 进行 泛 
洪 〈 从 接口 GE0/0/2 发 出 )， 并 刷新 MAC 地 址 表 项 ， 将 该 数据 帧 的 源 MAC 地 址 
5489-986e-29ad 与 接口 GE0/0/4 进行 关联 (后 学 习 到 的 MAC 地 址 表 项 覆盖 原先 的 MAC 
地 址 表 项 )。 此 时 SW2 上 就 已 经 出 现 了 MAC 地 址 迁移 现象 了 。 因 为 源 MAC 地 址 
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5489-986e-29ad 在 GE0/0/2 接口 上 出 现 ， 随 后 转 而 在 接口 GE0/0/4 接口 上 出 现 。 

(5) SW3 在 接口 GE0/0/4 上 收 到 ARP Request 后 ， 处 理 过 程 与 SW2 类 似 ， 此 时 
MAC 地 址 5489-986e-29ad 在 SW3 的 GE0/0/3 与 GE0/0/4 接口 之 间 发 生 了 迁移 。 

(6) 接 下 来 ，SW1 会 在 自己 的 GE0/0/2 及 GE0/0/3 接口 上 收 到 ARP Request， 假 设 
它 首 先 在 GE0/0/2 接口 上 收 到 帧 ， 那 么 它 会 把 该 帧 进行 泛 洪 ， 从 GE0/0/1 及 GE0/0/3 接 
口 发 出 ,并 刷新 自己 的 MAC 地址 表 , 把 MAC 地 址 5489-986e-29ad 与 接口 GE0/0/2 进行 
关联。 紧 接 着 ，SW1 又 在 接口 GE0/0/3 收 到 了 ARP Request， 于 是 它 泛 洪 该 广播 帧 ， 将 
其 从 GE0/0/1 及 GE0/0/2 接口 发 出 ， 并 刷新 自己 的 MAC 地 址 表 ， 把 MAC 地 址 
5489-986e-29ad 与 接口 GE0/0/3 进行 关联 。 如 此 一 来 ，5489-986e-29ad 这 个 MAC 地 址 就 
在 GE0/0/1、GE0/0/2 及 GE0/0/3 接口 之 间 发 生 了 迁移 。 

(7) 到 这 里 事情 还 没有 结束 ， 由 于 SW1 对 其 在 GE0/0/2 和 GE0/0/3 接口 上 收 到 的 广 
播 ARP Request 数据 帧 进行 了 泛 洪 , 因此 SW2 及 SW3 将 继续 收 到 ARP Request 数据 帧 ， 
它们 也 会 泛 洪 该 帧 ， 如 此 一 来 ， 这 个 广播 的 ARP Request 数据 帧 将 不 停 地 在 SW1、SW2 
及 SW3 所 构成 的 这 个 三 角形 二 层 环 路 中 泛 洪 ， 这 就 形成 了 广播 风暴 。 

《8) 由 于 网 络 中 出 现 了 二 层 环 路 ， 导 致 广播 风暴 产生 ， 以 SW1 为 例 ，MAC 地 址 
5489-986e-29ad 在 极 短 的 时 间 内 不 停 地 在 它 的 GE0/0/1、GE0/0/2 及 GE0/0/3 接口 之 间 迁 
移 ， 大 量 连续 出 现 的 MAC 地 址 迁移 就 构成 了 MAC 地址 漂移 现象 。 由 于 华为 交换 机 缺 
省 开局 MAC 地 址 漂移 检测 功能 ， 因 此 三 台 交 换 机 都 将 产生 相应 的 告警 信息 。 

_SW2 产生 的 告 党 信息 如 下 : 

Aug 6 2015 10:33:03-08:00 SW2 L2IFPPI4/MEFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 MAC move detected, 
Vlanld = 1, MacAddress = 5489-986e-29ad, Original-Port = GE0/0/2, Flapping port = GE0/0/4. Please check the network accessed 
to flapping port. 

SW3 产生 的 告警 信息 如 下 : 

Aug 6 2015 10:33:03-08:00 SW3 L2IFPPI4/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 MAC move detected 
Vlanld = 1, MacAddress = 5489-986e-29ad, Original-Port = GE0/0/3, Flapping port = GE0/0/4. Please check the network accessed 
to flapping port. 

SW1 产生 的 告警 信息 如 下 : 

Aug 6 2015 10:33:03-08:00 SW1 L2IFPPLA4/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 MAC move detected, 


Vlanld = 1, MacAddress = 5489-986e-29ad, Original-Port = GE0/0/1， Flapping port = GE0/0/2 and GE0/0/3. Please check the 
network accessed to flapping port. 


广播 风 骏 的 产生 会 对 整个 交换 网 络 市 来 极其 恶劣 的 影响 ， 大 量 的 数据 帧 将 瞬间 消耗 
掉 链 路 珊 宽 ， 并 将 占用 大 量 的 设备 资源 ， 降 低 设 备 的 处 理性 能 ， 甚 至 导致 网 络 瘫痪 。 二 
层 环 路 是 引发 广播 风暴 的 非 魁 祸首 之 一 ， 因 此 破除 网 络 中 的 二 层 环 路 是 网 络 设计 者 及 建 
设 者 必须 考虑 的 一 项 内 容 ， 在 网 络 中 部 署 生成 树 协 议 〈 一 种 解决 二 层 环 路 问题 的 技术 ) 


-是 一 个 不 错 的 选择 。 


MAC 地 址 漂移 时 常 是 由 二 层 环 路 导致 的 , 此 外 网 络 攻击 行为 也 有 可 能 引发 MAC 上 
漂移 。 例 如 交换 机 X 的 GE0/0/5 接口 连接 着 合法 终端 A， 那 么 在 网 络 正 常情 况 下 ， 
et GE0/0/5 接口 收 到 A 所 发 送 的 数据 帧 ， 并 学 习 该 数据 帧 的 源 MAC 地 址 ， 大 而 
形成 正确 的 MAC 地 址 表 项 。 现 在 一 个 攻击 者 连接 到 交换 机 的 GE0/0/6 接口 ， 它 伪造 A 
的 MAC 地址 并 以 该 MAC 地 址 为 源 发 送 数据 帧 ,如 此 一 来 交换 机 将 在 GE0/0/$ 及 GE0/0/6 
接口 上 不 断 收 到 源 MAC 地 址 相同 的 数据 帧 ，MAC 地 址 漂移 现象 便 会 发 生 ， 当 然 此 时 A 
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的 通信 将 极 有 可 能 出 现 问题 。 

综 上 所 述 ， 二 层 环 路 以 及 网 络 攻击 行为 均 有 可 能 引发 MAC 地 址 漂移 ， 当 然 ， 对 于 
二 层 环 路 这 个 诱因 ， 最 好 的 解决 办 法 就 是 消除 二 层 环 路 ， 例 如 使 用 生成 树 技术 或 者 其 他 
手段 ， 而 对 于 网 络 攻击 行为 则 需要 采用 技术 或 者 管理 手段 进行 干预 。 除 上 述 解决 方案 外 ， 
华为 交换 机 还 支持 几 个 安全 特性 ， 用 于 应 对 MAC 地 址 深 移 问题 。 


9.3.1 案例 1: 配置 接口 MAC 地 址 学 习 优 先 级 


华为 交换 机 支持 在 接口 上 配置 MAC 地 址 学 习 优先 级 ， 以 防止 出 现 MAC 地 址 漂移 。 
当 MAC 地 址 在 交换 机 的 两 个 接口 之 间 发 生 漂移 时 ， 可 以 将 其 中 一 个 接口 的 MAC 地 址 
学 习 优 先 级 调 高 ， 而 高 优先 级 的 接口 学 习 到 的 MAC 地 址 表 项 将 履 盖 低 优先 级 接口 学 习 
到 的 表 项 ， 因 此 便 可 以 规避 MAC 地 址 漂移 问题 。 缺 省 时 ， 所 有 接口 的 MAC 地 址 学 习 
优先 级 为 0， 使 用 mac-learning priority 命令 可 以 调节 接口 的 MAC 地 址 学 习 优 先 级 ， 优 
先 级 的 值 越 大 ， 则 优先 级 越 高 。 

在 图 9-7 中 ,交换 机 SW 的 GE0/0/1 
接口 连接 着 一 台 PC， 它 的 MAC 地 址 
为 5489-98cb-2bf2。 现 在 一 个 攻击 者 控 
制 了 PC2, 并 且 伪 造 PC1 的 MAC 地 址 





开始 向 交换 机 发 送 数据 帧 ， 因 此 ， a : 
5489-98cb-2bf2 这 个 MAC 地 址 将 在 交 wa Pe 
换 机 的 GE0/0/1 及 GE0/0/2 之 间 发 生 漂 ”5489-98cb-2bf2 5489-98cb-2bf2 


移 。 此 时 交换 机 的 MAC 地 址 表 是 动荡 图 9-7 PC2 是 攻击 者 ， 伪 造 PC1 的 MAC 地 址 发 送 数据 
的 ， 当 然 ， 在 这 种 情况 下 ， 发 往 PC1 的 数据 帧 很 可 能 无 法 正确 到 达 PC1， 因 为 交换 机 上 
5489-98cb-2bf2 的 MAC 地 址 表 项 可 能 会 被 PC2 发 送 的 数据 帧 刷新 。 

可 以 在 交换 机 上 完成 如 下 配置 : 

[SW interface GigabitEthernet 0/0/1 

[SW-GigabitEthernet0/0/] jmac-learning priority 3 

通过 在 GE0/0/1 接口 上 配置 mac-learning priority 3 命令 , 可 将 该 接口 的 MAC 地址 
学 习 优 先 级 调整 为 3， 如 此 一 来 该 接口 的 优先 级 便 比 GE0/0/2 更 大 (GE0/0/2 的 优先 级 缺 
省 为 0)。 完 成 上 述 配置 后 , 即使 交换 机 在 GE0/0/2 收 到 PC2 以 MAC 地 址 5489-98cb-2bf2 
为 源 发 送 的 数据 帧 ， 也 不 会 覆盖 抒 GE0/0/1 接口 的 表 项 。 


9.3.2 ”案例 2: 配置 不 允许 相同 优先 级 接口 MAC 地 址 漂移 


缺 省 时 ， 交 换 机 接口 的 MAC 地 址 学 习 优 先 级 均 为 0， 虽 然 优 先 级 更 高 的 接口 学 习 
到 的 MAC 地 址 表 项 不 会 被 优先 级 低 的 接口 学 习 到 的 表 项 覆盖 ， 但 是 相同 优先 级 的 接口 
之 间 , 还 是 会 相互 覆盖 ， 从 而 产生 MAC 地 址 漂移 现象 。 使 用 undo mac-learning priority 
priority-id allow-flapping 命令 可 以 禁止 相同 优先 级 的 接口 发 生 MAC 地 址 履 盖 ， 从 而 规 
避 MAC 地 址 漂移 问题 ， 提 高 网 络 的 安全 性 。 

以 图 9-7 为 例 ， 缺 省 情况 下 ，SW 的 GE0/0/1 及 GE0/0/2 接口 的 MAC 地 址 学 习 优先 
级 均 为 0， 如 果 PC1 率先 接 入 SW, 并且 SW 已 经 在 GE0/0/1 接口 上 学 习 到 了 其 MAC 地 
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址 ， 那 么 可 以 在 SW 上 完成 如 下 配置 : 

[SWJjando mac-learning priority 0 allow-flapping 

完成 上 述 配置 后 ， 交 换 机 将 不 再 允许 MAC 地 址 学 习 优 先 级 均 为 0 的 接口 之 间 发 生 
MAC 地 址 漆 移 。 因 此 由 于 GE0/0/1 接口 先 学 习 到 了 MAC 地 址 5489-98cb-2bf2， 此 时 如 果 
攻击 者 连接 到 GE0/0/2 接口 并 且 伪 造 该 MAC 地 址 发 送 数据 帧 , SW 不 会 将 原 有 的 表 项 覆盖 。 

当然 , 如果 PC1 下 电 , 则 交换 机 的 接口 GE0/0/1 将 会 切换 为 down, 此 时 当 其 在 GE0/0/2 
接口 上 收 到 PC2 发 送 的 非法 数据 帧 时 ， 由 于 MAC 地 址 表 中 没有 关于 5489-98cb-2bf2 的 
表 项 ， 因 此 它 会 学 习 该 MAC 地 址 并 且 与 接口 GE0/0/2 进行 关联 。 现 在 如 果 PC1 又 上 电 
了 ,由 于 交换 机 的 MAC 地 址 表 中 已 经 存在 相关 表 项 ,因此 SW 将 无 法 学 习 到 合法 的 MAC 
地 址 表 项 ， 从 而 发 往 PC1 的 数据 帧 将 被 SW 从 GE0/0/2 接口 转发 出 去 ， 所 以 undo 
mac-learning priority priority-id allow-flapping 命令 需 谨慎 配置 。 


9.3.3 ”案例 3: 配置 基于 VLAN 的 MAC 地 址 漂移 检测 


华为 交换 机 支持 MAC 地 址 漂移 检测 功能 ， 该 功能 可 以 在 VLAN 下 激活 。 我 们 可 以 
通过 相应 的 配置 ， 使 得 当 交 换 机 在 VLAN 中 检测 到 MAC 地 址 漂移 时 ， 执 行 如 下 动作 : 

e 仅仅 产生 告警 ; 

。 将 产生 MAC 地 址 漂移 的 接口 阻塞 ; 

。 将 产生 漂移 的 MAC 地 址 阻塞 ， 而 不 是 将 接口 阻塞 。 

VLAN 配置 视图 下 的 loop-detect eth-loop 命令 用 于 在 特定 VLAN 中 开启 MAC 地 址 
漂移 检测 功能 ， 缺 省 情况 下 该 功能 并 未 开启 。 以 图 9-8 所 示 的 场景 为 例 ， 交 换 机 SW 的 
GE0/0/1 接口 连接 着 PC1， 而 GE0/0/2 接口 则 连接 着 一 台 非 可 网 管 交换 机 ，SW 的 所 有 接 
口 都 加 入 了 VLAN10。 为 了 检测 到 VLAN10 内 是 否 发 生 MAC 地 址 漂移 ， 可 以 在 SW 上 
完成 如 下 配置 ; 


[SW]vlan 10 
~ [SW-vlan1l0]loop-detect eth-loop alarm-only 











Core 
Network 


PC1 (VLAN10) 
5489-982d-2525 


PC2 PC3 (攻击 者 VLAN10) 
5489-982d-2525 


图 9%-8 ”在 SW 上 部 署 MAC 地 址 漂移 检测 功能 


在 VLAN10 的 配置 视图 下 执行 的 loop-detect eth-loop alarm-only 命令 将 在 VLAN10 
中 开局 MAC 地 址 漂移 检测 ， 一 旦 交换 机 检测 到 该 VLAN 内 发 生 了 MAC 地 址 漂移 ， 则 
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交换 机 仅仅 产生 相应 的 告警 信息 (不 会 阻塞 发 生 MAC 地 址 漂移 的 接口 )。 

另外 ， 交 换 机 还 支持 在 检测 到 MAC 地 址 漂移 时 ， 对 产生 漂移 的 接口 进行 阻塞 ，SW 
可 变更 配置 如 下 : 

[SW]vlan 10 

[SW-vlan10]loop-detect eth-loop block-time 10 retry-times 2 

在 以 上 配置 中 ，loop-detet eth-loop 命令 中 使 用 了 block-time 及 retry-times 关键 字 ， 
该 条 命令 将 使 得 当 SW 检测 到 VLAN10 内 产生 MAC 地 址 漂移 时 ， 将 产生 漂移 的 接口 直 
接 阻 塞 。 接 口 将 被 阻塞 10s (该 时 长 使 用 block-time 关键 字 指 定 )， 接 口 被 阻塞 时 是 无 法 
正常 收发 数据 的 。10s 之 后 接口 会 被 放 开 并 重新 进行 检测 ， 此 时 该 接口 可 以 正常 收发 数 
据 ， 如 果 20s 内 没有 再 检测 到 MAC 地 址 漂移 ， 则 接口 的 阻塞 将 被 彻底 解除 ; 而 如 果 20s 
内 再 次 检测 到 MAC 地 址 漂移 ， 则 再 次 将 该 接口 阻塞 ， 如 此 重复 2 次 (该 次 数 使 用 
retry-times 关键 字 指 定 )， 如 果 交 换 机 依然 能 检测 到 该 接口 发 生 MAC 地 址 漂移 ， 则 永久 
阻塞 该 接口 。 

在 图 9-8 中 ， 当 网 络 正常 时 ，SW 能 够 学 习 到 PC1 的 MAC 地 址 并 形成 MAC 地 址 表 
项 。 此 时 ，PC1 能 够 通过 SW 与 外 界 正 常 通信 。 现 在 攻击 者 PC3 连接 到 了 网 络 中 的 非 可 
网 管 交 换 机 上 ， 它 开始 伪造 PC1 的 MAC 地 址 发 送 数据 帧 ， 由 于 SW 在 YLAN10 内 开启 
了 MAC 地 址 漂移 检测 功能 , 因此 SW 很 快 便 发 现 GE0/0/2 接口 上 发 生 了 MAC 地 址 漂移 
并 弹出 如 下 告警 ， 

Aug 11 2015 17:54:19-08:00 SW L2IFPPI/4/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 MAC move detected, 
Vlanld = 10, MacAddress = 5489-982d-2525, Original-Port = GE0/0/1, Flapping port = GE0/0/2. Please check the network accessed 
to flapping port. 

在 检测 到 GE0/0/2 接口 上 发 生 MAC 地 址 漂移 后 ，SW 将 把 该 接口 阻塞 10s， 此 时 
GE0/0/2 接口 将 无 法 正常 收发 数据 帧 。 阻 塞 GE0/0/2 接口 时 SW 会 弹出 如 下 告警 信息 以 
知 会 管理 员 : 

Aug 11 2015 17:54:18-08:00 SW L2IFPPL4/MFLPIFBLOCK:OID 1.3.6.1.4.1.2011.5.25.160.3.1 Loop exists in vlan 10, 
Interface GigabitEthernet0/0/2 blocked, block-time is 10 for mac-flapping, Mac Address is 5489-982d-2525. ; 


此 时 使 用 display loop-detect eth-loop 命令 可 以 查看 被 MAC 地 址 漂移 检测 功能 所 阻 
塞 的 接口 及 阻塞 剩余 时 间 等 信息 : 


<SW>display loop-detect eth-loop 

VLAN Block-time RetryTimes Block-action 
于 2 a 

Total items: 1 

Blocked ports: 

PortName Vlan Status Expire(s) Leave times 
GigabitEthernet0/0/2 10 Block 6 1 
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从 上 面 的 输出 可 以 看 到 ，GE0/0/2 接口 目前 处 于 阻塞 〈Block) 状态 ， 而 且 阻 塞 的 剩 
余 时 间 还 有 6s，Leave times 表示 接口 从 本 次 阻塞 恢复 后 ， 允 许 再 次 出 现 MAC 深 移 的 次 
数 。 阻 塞 10s 之 后 ，SW 会 把 GE0/0/2 接口 恢复 ， 接 下 来 的 208， 相 当 于 是 SW 对 该 接口 
的 考察 期 。 在 SW 上 继续 使 用 display loop-detect eth-loop 命令 可 以 看 到 GE0/0/2 接口 的 
状态 〈 状 态 切 换 到 Retry): 


<SW>display loop-detect eth-loop 

VLAN Block-time RetryTimes Block-action 

10 10 2 block-port 

Total items:1 4 

Blocked ports: 

PortName Vilar Status Expire(s) Leave times 
GigabitEthernet0/0/2 10 Retry 19 1 

Total items: 1 


如 果 20s 内 ，SW 没有 在 GE0/0/2 接口 上 再 检测 到 MAC 地 址 漂移 的 发 生 ， 则 彻底 放 
开 GE0/0/2。 此 时 使 用 display loop-detect eth-loop 命令 也 就 不 会 再 看 到 该 接口 。SW 彻 
底 放 开 GE0/0/2 时 ， 会 产生 如 下 日 志 : 

Aug 11 2015 17:54:48-08:00 SW L2IFPPL4/MFLPIFRESUME:OID 1.3.6.1.4.1.2011.5.25.160.3.2 Loop does not exist in 


vlan 10, Interface GigabitEthemet0/0/2 resumed, block-time is 10 for mac-flapping disappeared. 
而 如 果 20s 内 ，SW 再 次 在 GE0/0/2 接口 上 检测 到 MAC 地 址 漂移 ， 则 会 再 次 阻塞 该 


接口 : 
<SW>display loop-detect eth-loop 
VLAN Block-time RetryTimes Block-action 
10 10 2 block-port 
Total items:] 
Blocked ports 
PortName Vlan Status Expire(s) Leave times 
GigabitEthernet0/0/2 10 Block 6 0 


Total items:1 
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10s 后 , 接口 再 次 被 放 开 , 并 开始 新 一 轮 检测 。 在 上 述 输出 中 , 我 们 看 到 “Leave times” 
为 0, 这 意味 着 如 果 在 接 下 来 的 20s 内 ，SW 若 再 次 检测 到 GE0/0/2 发 生 MAC 地 址 深 移 ， 
则 永久 阻塞 该 接口 。 现 在 ， 如 果 PC3 依然 在 伪造 PC1 的 MAC 地 址 发 送 数据 帧 ， 那 么 
SW 将 永久 阻塞 GE0/0/2 接口 : 

<SW>display loop-detect eth-loop 

VLAN 


Block-time RetryTimes Block-action 
10 10 2 block-port 
Total items:1 
Blocked ports: 
PortName Vlan Status Expire(s) Leave times 
GigabitEthernet0/0/2 10 Block forever - 
Total items:1 


十 关 二 条 刘 和 


从 上 面 的 输出 可 以 看 到 ，GE0/0/2 接口 的 状态 变 成 了 “Block forever”， 也 就 是 永久 
阻塞 。 被 永久 阻塞 的 接口 是 无 法 自动 恢复 的 ， 只 能 通过 命令 reset loop-detect eth-loop 来 
解除 : 


I Wile loop-detect eth-loop vlan 10 interface GigabitEthernet 0/0/2 
实际 上 ，loop-detect eth-loop block-time 10 retry-times 2 命令 是 比较 “时 覃 的 ”， ”， 因 


为 交换 机 只 要 检测 到 MAC 地 址 漂移 的 发 生 ， 便 会 将 发 生 漂移 的 接口 进行 阻塞 ， 因 此 该 
接口 所 连接 的 其 他 设备 可 能 也 会 受到 影响 (例如 本 例 中 的 合法 设备 PC2)。 可 以 通过 配置 ， 
使 得 交换 机 在 检测 到 MAC 地 址 漂移 时 ， 只 阻塞 MAC 地 址 ， 而 不 是 将 整个 接口 进行 阻 
塞 。SW 的 配置 修改 如 下 


eh W100 block- -mac block-time 10 retry-times 2 上 

在 上 述 配置 中 ，loop-detect eth-loop 命令 使 用 了 block-mac 关键 字 ， 因 此 ， 当 攻击 
者 PC3 连接 到 网 络 中 时 ，SW 将 检测 到 5489-982d-2525 这 个 MAC 地 址 发 生 漂移 ， 于 是 
将 漂移 的 MAC 地 址 阻塞 ， 此 时 如 果 GE0/0/2 接口 下 连接 着 其 他 合法 的 PC (例如 PC2 )， 
那么 这 些 PC 的 通信 是 不 会 受到 影响 的 。 下 面 来 看 一 下 整个 过 程 : 当 SW 第 一 次 检测 到 
GE0/0/2 接口 出 现 5489-982d-2525 这 个 MAC 地 址 的 漂移 现象 时 ，SW2 将 该 MAC 地 址 
阻塞 ， 于 此 同时 它 将 产生 如 下 告警 : 

Aug 11 2015 18:34:49-08:00 SW L2IFPPI4/MFLPMACBLOCK:OID 1.3.6.1.4.1.2011.5.25.160.3.9 Loop exists in vlan 10, 


Mac Address 5489-982d-2525 blocked, block-time is 10, the former Interface GigabitEthemet0/0/1, the latter Interface 
GigabitEthemet0/0/2, for mac-flapping. 


注意 ， 由 于 交换 机 将 5489-9824d- 2525 这 个 MAC 地 址 阻塞， 因此 拥有 该 MAC 地 址 
的 合法 PC (PC1) 以 及 攻击 者 PC3 都 无 法 使 用 该 MAC 地 址 进行 通信 。 在 交换 机 上 使 用 
display loop-detect eth-loop 命令 ， 可 以 看 到 如 下 输出 : 
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[SWjdisplay loop-detect eth-loop 


VLAN Block-time RetryTimes Block-action 

10 10 2 block-mac 

Total items;1 

Blocked ports: 

PortName Vlan Status Expire(s) Leave times 
Total items:0 

Blocked Mac Address: 

Mac Address Vlan Status Expire(s) Leave times 
$5489-982d-2525 10 Block + 7 1 

Total items:1 


10s 后 ，SW 将 该 MAC 地 址 解除 阻塞 ，MAC 地 址 进入 20s 的 观察 期 。 如 果 此 时 SW 
再 次 检测 到 该 MAC 地 址 发 生 了 漂移 ， 则 将 再 次 阻塞 该 MAC 地 址 。10s 后 ，MAC 地 址 
被 放 开 ， 并 进入 20s 的 观察 期 ， 此 时 “Leave times” 已 经 为 0, 当 SW 再 次 检测 到 该 MAC 
地 址 发 生 漂 移 时 ， 便 彻底 阻塞 该 MAC 地 址 : 

[SW]display loop-detect eth-loop \ 
CRVLAN Block-time RetryTimes Block-action 

加， 0 De 

Total items'1 

Blocked ports: 


PortName Vlan Status Expire(s) Leave times 


一 一 一 一 -一 一 一 一 一 一 一 一 一 -一 -一 一 一 i ss ee 一 CC 一 OO 一 


Total items:0 
Blocked Mac Address: 


Mac Address Vlan Status Expire(s) Leave times 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 :一 -一 一 -一 一 二 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 -一 -一 -一 一 一 一 一 一 一 一 -一 一 -一 :一 一 一 
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5489-982d-2525 10 Block forever . 


Total items:1] 
此 时 只 能 使 用 如 下 命令 将 MAC 地 址 恢复 : 


[SW reset loop-detect eth-loop vlan 10 mac-address 5489-982d-2525 


9.3.4 ”案例 4: 配置 全 局 MAC 地 址 漂移 检测 


在 上 一 个 案例 中 ， 大 家 了 解 了 如 何在 华为 交换 机 上 部 署 基于 VLAN 的 MAC 地 址 漂 
移 检测 ， 该 功能 缺 省 时 并 未 激活 。 除 此 之 外 ， 华 为 交换 机 还 支持 全 局 MAC 地 址 漂移 检 
测 ， 该 功能 通过 在 系统 视图 下 ， 使 用 命令 mac-address flapping detection 配置 ， 缺 省 情 
况 下 全 局 MAC 地 址 漂移 检测 功能 已 经 激活 。 因 此 缺 省 时 交换 机 便 会 对 设备 上 的 所 有 
VLAN 进行 MAC 地 址 漂移 检测 。 全 局 MAC 地 址 漂移 检测 功能 及 基于 VLAN 的 MAC 
地 址 检测 功能 都 能 在 一 定 程 度 上 应 对 MAC 地 址 漂移 问题 ， 建 议 只 选用 其 中 一 种 ， 以 免 
造成 系统 资源 的 浪费 。 

下 面 来 看 看 全 局 MAC 地 址 检测 功能 的 几 种 使 用 场景 。 

1. 在 设备 上 开启 全 局 MAC 地 址 漂移 检测 功能 

在 图 9-7 所 示 的 场景 中 ， 当 攻击 者 PC2 出 现在 网 络 中 并 开始 向 交换 机 发 送 数 据 时 ， 
交换 机 之 所 以 能 够 检测 到 GE0/0/1 及 GE0/0/2 接口 之 间 发 生 MAC 地 址 漂移 ， 是 因为 交 
换 机 已 经 缺 省 开启 了 全 局 MAC 地 址 漂移 检测 功能 : 

[SW]jmac-address flapping detection 

由 于 这 是 一 个 缺 省 配置 ， 因 此 在 交换 机 上 使 用 display current-configuration 命令 不 
会 看 到 该 条 命令 。 在 交换 机 检测 到 MAC 漂移 后 ， 会 弹出 如 下 告警 : 


Aug 11 2015 11:35:08-08:00 SW L2IFPPIL/A/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 MAC move detected, 
Vlanld = 1, MacAddress = 5489-98cb-2bf2, Original- -Port = GE0/0/1, Flapping port = GE0/0/2. Please check the woh Ms 
to flapping port. 


使 用 display mac-address die record 命令 ， 可 以 查看 MAC 地 址 漂移 的 历史 
记录 : 
[SW]display mac-address flapping record 
S :starttime I Ru 
E :end time ] Ww 
(Q) :quit vlan 
(D) : error down 


$2015.08.11 11:35:50 1 5489-98cb-2bf2 -Cc GE0/0/1 GE0/0/2 1089 
E:2015-08-11 11:38:03 : : wo 


oo ee eg 
以 上 显示 了 从 2015-08-11 11:35: 50 开始 到 2015-08-11 11:38:03 经 结束 的 MAC 地 址 潭 


移 记 录 ， 从 记录 中 可 以 看 出 ，5489-98cb-2bf2 这 个 MAC 地 址 在 GE0/0/1 及 GE0/0/2 接口 
之 间 发 生 了 漂移 ， 而 且 漂 移 的 次 数 达 1089 次 之 多 。 
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2. 配置 MAC 地 址 漂移 检测 的 VLAN 白 名 单 

一 旦 交换 机 开启 了 全 局 MAC 漂移 检测 , 那么 交换 机 将 对 本 机 所 有 VLAN 进行 MAC 
地 址 漂移 检测 。 然 而 网 络 中 可 能 存在 一 些 特殊 的 场景 ， 如 图 9-9 所 示 ，Server 存在 两 张 
网 卡 ， 它 们 都 通过 网 线 连 接 到 交换 机 SW，Server 在 这 两 张 网 卡 上 部 署 了 负载 分 担 模式 
的 网 卡 绑 定 ， 即 将 Ethl 及 Eth2 捆绑 成 一 个 逻辑 接口 ， 并 且 将 外 出 的 流量 在 Ethl 及 Eth2 
这 两 个 物理 接口 上 进行 负载 分 担 。 由 于 这 些 流量 都 使 用 相同 的 源 MAC 地 址 , 因此 当 SW 
收 到 这 些 流 量 时 ， 便 会 检测 到 GE0/0/1 及 GE0/0/2 接口 上 发 生 MAC 地 址 漂移 ， 然 而 实 
际 上 ， 这 种 现象 对 网 络 而 言 是 无 害 的 ， 因 为 网 络 中 并 不 存在 二 层 环 路 。 


GEO/0/]1 


VLANI10 Eth] 










Server 


GE0/0/2 
VLANI10 


图 9-9 Server 的 两 张 网 卡 都 与 SW 连 线 


所 以 ， 在 该 场景 中 ， 在 VLAN10 内 检测 MAC 地 址 漂移 是 没有 必要 的 ， 因 此 可 以 将 
VLAN10 添加 到 MAC 地 址 漂移 检测 的 白 名 单 中 ， 从 而 不 对 VLAN10 进行 检测 。 

[SWlmac-address flapping detection exclude vlan 10 

完成 上 述 配置 后 ，VLAN10 内 发 生 的 MAC 地 址 漂移 将 不 会 产生 告警 ， 也 不 会 显示 
在 MAC 地 址 漂移 记录 中 。 


Eth2 


[SW]display mac-address flapping 

Mac-address Flapping Configurations 
Flapping detection Enable 
Aging time(sec) : 300 
Quit-vlan Recover time(min) :10 
Exclude vlan-list :10 





oT 解决 上 述 问题 还 可 以 采用 另 一 种 方法 ， 即 在 交换 机 上 将 GE0/0/1 及 GE0/0/2 接口 
进行 聚合 ， 此 时 无 论 Server 发 送 的 数据 在 哪 一 个 接口 上 到 达 ， 交 换 机 都 统统 认为 是 在 聚 
合 接 口上 到 达 的 ， 因 此 不 存在 MAC 地 址 迁移 或 漂移 的 现象 。 


3， 配置 指定 VLAN 中 MAC 地 址 漂移 检测 的 安全 级 别 

前 文中 提 到 MAC 地 址 迁移 及 MAC 地址 漂移 的 概念 和 区 别 。 当 交换 机 开启 全 局 MAC 
地 址 检测 时 ,交换 机 为 所 有 VLAN 缺 省 设置 的 MAC 地 址 漂移 检测 的 安全 级 别 是 middle， 
也 即 当 检测 到 MAC 地 址 发 生 10 次 迁移 后 ， 便 认为 该 MAC 地 址 发 生 了 漂移 ， 于 是 上 报 
告警 。 当 然 这 个 安全 级 别 是 可 以 修改 的 。 交 换 机 支持 三 种 安全 级 别 的 设 定 。 

。 高 (High): MAC 地 址 发 生 3 次 迁移 后 ， 即 认为 发 生 了 MAC 地 址 漂移 。 

。 中 (Middle): MAC 地 址 发 生 10 次 迁移 后 ， 即 认为 发 生 了 MAC 地 址 漂移 。 

。 低 (Low): MAC 地 址 发 生 50 次 迁移 后 ， 即 认为 发 生 了 MAC 地 址 漂移 。 

例如 ， 将 VLAN11 的 MAC 地 址 漂移 检测 安全 级 别 设 置 为 High: 


[SW] mac-address flapping detection vlan 11 security-level high 
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4. 配置 发 生 漂移 后 接口 的 处 理 动作 及 优先 级 

在 开启 全 局 MAC 地 址 漂移 检测 后 ， 如 果 交 换 机 检测 到 MAC 地 址 漂移 ， 在 缺 省 情 
况 下 ， 它 只 是 简单 地 上 报告 警 ， 并 不 会 采取 其 他 动作 。 

我 们 可 以 在 接口 上 配置 发 生 漂移 后 的 处 理 动作 及 优先 级 。 在 图 9-10 所 示 的 网 络 中 ， 
SW1、SW2 及 SW3 构成 一 个 三 角形 的 二 层 环 路 ， 如 果 网 络 设备 并 未 运行 解决 二 层 环 路 
的 协议 或 使 用 相关 技术 ， 那 么 一 旦 网 络 中 的 PC 开始 发 送 数据 ， 就 极 有 可 能 产生 广播 风 
暴 并 引发 MAC 地 址 漂移 。 







Core 
Network 






GEO/0/] 


图 9-10 ”在 SW1 的 接口 上 配置 发 生 漂移 后 的 处 理 动作 及 优先 级 
以 SW1 为 例 ， 可 以 配置 接口 发 生 MAC 漂移 后 的 处 理 动 作 : 


[SW]1lmac-address flapping detection 

[SW ilJinterface gigabitethernet 0/0/2 

[SW1-GigabitEthernet0/0/2]mac-address flapping action error-down 

[SW1]interface gigabitethernet 0/0/3 ? 

[SW1-GigabitEthernet0/0/3Jmac-address flapping action error-down 

完成 上 述 配 置 后 ,一旦 PC1 开始 发 送 广播 数 据 帧 ， 这 个 数据 帧 将 立即 在 图 中 的 三 角 
形 环 路 中 被 泛 洪 。 假 设 SW1 先 在 GE0/0/2 接口 上 学 习 到 PC1 的 MAC 地 址 ,随后 在 GE0/0/3 
接口 上 检测 到 MAC 地 址 漂移 , 由 于 GE0/0/2 及 GE0/0/3 接口 都 配置 了 发 生 MAC 漂移 后 
的 处 理 动作 (动作 为 ErrorDown)， 因 此 检测 到 MAC 地 址 漂移 的 接口 GE0/0/3 将 被 置 为 
Error-Down， 不 再 转发 数据 ， 如 此 一 来 ， 访 接口 相当 于 被 阻塞 ， 于 是 网 络 中 的 二 层 环 路 
也 就 被 打破 了 。 

在 SW1 将 GE0/0/3 设置 为 Error-Down 时 ， 它 会 上 报 如 下 告警 ; 

Aug 11 2015 14:29:32+08:00 SW1 %%01ERRDOWN/4/ERRDOWN DOWNNOTIFY(D)[14]:Notify interface to change 
status to error-down. (InterfaceName=GigabitEthernet0/0/3, Cause=mac-address-flapping) 

在 SW1 上 使 用 display mac-address flapping record 命令 也 能 查看 到 相应 的 变化 : 

[SW1]display mac-address flapping record | 

S :starttime 
E ~: end time 
(Q) : quit vlan ee 
(D) : error down : < 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


S:2015-08-11 14:29:11 10 5489-986e-29ad GE0/0/2 GE0/0/3(D) 317 
E:2015-08-11 14:29:32 
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从 上 述 输出 可 以 看 到 ，GE0/0/3 接口 被 设置 了 “DD” 标记 ， 这 意味 着 该 接口 已 经 被 置 
为 Error-Down 状态 。 使 用 display interface GigabitEthernet 0/0/3 命令 , 也 可 以 进一步 确 
认 该 接口 当前 的 状态 : 

[SW1]display interface GigabitEthernet 0/0/3 De 

GigabitEthernet0/0/3 current state : ERROR DOWN(mac-address-flapping) 

Line protocol current state : DOWN 

Description: 

Switch Port, PVID : 1, TPID ; 8100(Hex), The Maximum Frame Length is 1600 


除了 Error-Down， 还 能 将 接口 检测 到 发 生 MAC 地 址 漂移 后 的 处 理 动 作 设 置 为 
quit-vlan〈 离 开 VLAN)， 例 如 将 SW1 的 配置 修改 为 : 
[SW1]mac-address flapping detection 
[SWl]interface gigabitethernet 0/0/2 
[SW1-GigabitEthernet0/0/2]mac-address flapping action quit-vlan 
[SW Jinterface gigabitethernet 0/0/3 
[SW1-GigabitEthernet0/0/3]mac-address flapping action quit-vlan 
如 此 一 来 ,一旦 PC1 开始 发 送 三 播 数据 帧 ， 那 么 SW1 将 可 能 率先 在 GE0/0/2 接口 
上 学 习 到 PC1 的 MAC 地 址 ， 随 后 在 GE0/0/3 接口 上 检测 到 MAC 地 址 漂移 ， 此 时 它 将 
使 后 者 (漂移 后 接口 ) 退出 VLAN10， 从 而 使 得 VLAN10 的 流量 在 网 络 中 不 会 存在 二 层 
环 路 ， 此 时 在 交换 机 上 能 看 到 如 下 告警 : 
Aug 11 2015 14:54:23+08:00 SW1 L2IFPPI/4/MFLPQUITVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.11 (vlan=10) 
Interface GE0/0/3 leaved from vlan 10 because mac move detected. 
在 SW1 上 使 用 display mac-address flapping record 命令 也 能 查看 到 相应 的 变化 : 
[SW1 Jdisplay mac-address flapping record 
S :starttime 
E :endtime 
(Q) : quit vlan 
(Dj : error down 


一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -- 一 一 -一 一 一 一 一 一 一 一 一 -一 -一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 -一 -一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 :一 一 一 -一 一 一 一 一 


S:2015-08-11 14:31:16 10 5489-986e-29ad GE0/0/2 GE0/0/3(Q) 83 
E:2015-08-11 14:32:27 


实际 上 在 接口 的 配置 视图 中 除了 能 配置 发 生 MAC 地 址 漂移 后 的 处 理 动 作 ， 还 能 配 
置 发 生 MAC 地 址 漂移 时 接口 动作 的 优先 级 。 缺 省 时 ， 接 口 的 优先 级 为 127， 使 用 
mac-address flapping action priority priority 命令 可 以 修改 这 个 值 〈 取 值 范围 是 0 一 255$， 
值 越 大 ， 则 优先 级 越 高 )。 当 交换 机 检测 到 两 个 或 者 两 个 以 上 的 接口 发 生 MAC 地 址 漂移 
并 且 接 口 都 配置 了 处 理 动 作 时 ， 它 将 把 优先 级 最 低 的 接口 关闭 或 退出 VLAN， 而 如 果 这 
些 接口 的 优先 级 都 相等 ， 那 么 漂移 后 接口 将 执行 相应 的 动作 ， 如 果 漂 移 后 的 接口 并 没有 
”配置 mac-address flapping action， 那 么 漂移 前 接口 执行 动作 。 值 得 注意 的 是 ， 接 口 优先 
级 只 在 相同 的 动作 间 发 挥 作用 ， 例 如 两 个 接口 都 将 mac-address flapping action 设置 为 
error-down， 那 么 优先 级 将 在 二 者 间 发 挥 作用 ， 而 如 果 两 个 接口 中 ， 一 个 配置 了 
error-down， 男 一 个 配置 了 quit- vlan， 那 么 一 旦 发 生 MAC 地 址 漂移 ， 无 论 这 两 个 接口 
的 优先 级 如 何 ， 它 们 都 将 执行 各 目 所 配置 的 动作 。 

$， 恢 复 被 惩罚 接口 

缺 省 时 ， 如 果 接 口 由 于 发 生 了 MAC 地 址 漂移 从 而 被 设置 为 Error-Down， 是 不 会 目 
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动 恢复 的 ， 此 时 需要 在 接口 配置 视图 下 先 执 行 shutdown 命令 ， 青 执行 undo shutdown 
命令 ， 从 而 将 接口 恢复 到 正常 工作 的 状态 。 此 外 ， 也 可 以 在 接口 配置 视图 下 执行 restart 
命令 重启 接口 。 当 然 ， 这 两 种 方法 都 需要 网 络 管理 员 通 过 手工 的 方式 进行 操作 ， 如 果 希 
望 处 于 Error-Down 的 接口 能 够 目 动 恢复 ， 那 么 可 以 在 系统 视图 下 配置 如 下 命令 : 


[SW lerror-down auto-recovery cause mac-address-flapping interval 30 

上 述 命令 将 使 得 由 于 发 生 MAC 地 址 漂移 从 而 被 设置 为 error-down 的 接口 在 延迟 30s 
后 目 动 恢复 为 UP。 

另外 ， 缺 省 时 ， 如 果 接 口 由 于 发 生 了 MAC 地 址 漂移 ， 从 而 被 设置 为 离开 VLAN， 
那么 接口 可 以 目 动 恢复 ,延迟 时 间 为 10min, 可 以 在 系统 视图 下 使 用 mac-address flapping 


quit-vlan recover-time time-value 命令 修改 该 时 间 。 


9.4 DHCP Snooping 


DHCP (Dynamic Host Configuration Protocol， 动 态 主机 配置 协议 ) 是 一 种 非常 常见 
的 技术 ， 用 于 对 设备 的 IP 地 址 等 信息 进行 目 动 分 配 和 管理 。 在 IP 网 络 中 ， 诸 如 个 人 电 
脑 、 手 机 或 者 其 他 终端 设备 ， 都 必须 拥有 IP 地 址 才能 够 进行 正常 通信 ， 而 获得 IP 地 址 
的 途径 主要 有 两 个 ， 一 是 通过 手工 配置 的 方式 ， 即 静态 IP 地 址 配置 ， 这 种 方式 适用 于 终 
端 设备 较 少 的 场景 ,或 者 从 网 络 管理 及 安全 的 角度 考虑 ， 对 设备 与 IP 地址 的 绑 定 关系 存 
在 严格 要 求 的 场景 等 。 另 外 ， 服 务 器 及 大 多 数 网 络 设备 通常 有 稳定 的 通信 及 控制 需求 ， 
因此 往往 采用 静态 IP 地 址 的 方式 进行 配置 。 另 一 种 方式 则 是 通过 DHCP 来 分 配 及 管理 
IP 地 址 。 在 终端 设备 的 数量 较 多 ， 而 且 网 络 对 IP 地 址 没有 严格 管控 需求 的 场景 中 ， 或 
者 在 诸如 访客 网 络 这 样 的 ， 频 繁 有 匿名 用 户 上 、 下 线 的 场景 中 ，DHCP 是 一 个 非常 不 错 
的 选择 ， 它 可 以 极 大 限度 地 简化 网 络 管理 ， 满 足 通信 和 需求 。 

IP 地 址 及 默认 网 关 地 址 、DNS 服务 器 地 址 等 配置 信息 对 于 一 台 终 端 设备 而 言 是 非常 
重要 的 ， 在 一 个 网 络 中 ， 如 果 终 端 设备 接 入 网 络 后 ， 获 取 的 卫 地 址 或 默认 网 关 地 址 等 信 
轧 有 误 ， 那 么 势必 造成 通信 中 断 或 业务 受 影响 。DHCP 的 工作 机 制导 致 该 协议 在 工作 的 
过 程 中 可 能 存在 漏洞 ， 最 典型 的 问题 之 一 是 非法 DHCP-Server 接 入 网 络 后 ， 可 能 导致 大 
量 DHCP 客户 端 获 取 错 误 的 卫 地 址 信息 从 而 无 法 正常 连接 网 络 。 

DHCP Snooping 是 一 种 DHCP 安全 技术 ， 用 于 确保 DHCP 客户 疹 从 合法 的 DHCP 
服务 器 获取 正确 的 IP 地 址 信息 。 学 习 完 本 节 之 后 ， 我 们 应 该 能 够 : 

。 理解 DHCP Snooping 的 工作 机 人 制 |; | 

。 掌握 DHCP Snooping 的 基础 配置 。 


9.4.1 DHCP Snooping 基本 机 人 制 


首先 回顾 一 下 DHCP 的 工作 原理 。 

(1) 如 图 9-11 所 示 ，PC1 的 网 卡 设置 了 通过 DHCP 的 方式 自动 获取 IP 地 址 等 信息 。 
当 该 网 卡 启动 后 ，PC1 从 网 卡 发 送 DHCP Discover 报 文 ， 这 是 一 个 广播 报 文 , 目的 全 地 
址 是 255.255.255.255， 这 意味 看 同 处 一 个 广播 域 ( 在 本 例 中 ， 意 为 相同 VLAN 内 ) 的 其 
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他 设备 也 会 收 到 这 个 报 文 。DHCP Discover 报 文 用 于 发 现 广播 域 中 的 DHCP 服务 器 。 


Serverl 


PC1 SW ry 
DHCP 和 客户 端 二 层 交 换 机 DHCP 服 务 端 


pr 


: DHCP Discover (广播 ) 


DHCP Offer : 


: DHCP Request (广播 》 


DHCP ACK/NAK 
图 9-11 DHCP 基本 工作 机 制 

(2) DHCP 服务 旧 Serverl 收 到 PC1 发 送 的 DHCP Discover 报 文 后 ， 从 地 址 池 中 挑 
选 一 个 可 用 的 全 地 址 ， 然 后 向 PC1 发 送 DHCP Offer 报 文 ， 在 该 报 文 中 携带 着 计划 分 配 
给 该 PC 的 IP 地 址 、 地 址 的 租约 期 限 等 信息 (其 他 的 还 可 能 有 诸如 默认 网 关 IP 地 址 、 
DNS 服务 右 人 P 地 址 等 )。 值 得 注意 的 是 ， 网 络 中 可 能 除了 Serverl 之 外 ， 还 存在 其 他 DHCP 
服务 器 (姑且 不 管 这 些 服务 器 的 合法 性 )， 那 么 这 些 DHCP 服务 器 都 会 收 到 PC1 发 送 的 
DHCP Discover 广播 ， 并 且 者 可 能 会 加 PC1 发 送 DHCP Offer。 

(3) PC1 可 能 会 从 多 个 DHCP 服务 器 收 到 DHCP Offer， 它 将 选择 第 一 个 到 达 的 
DHCP Offer 报 文中 所 提供 的 IP 地 址 等 信息 (假设 是 Serverl )。 为 了 告知 这 些 DHCP 服 
务 右 日 己 的 选择 ， 它 从 网 卡 发 送 一 个 广播 的 DHCP Request 报 文 ， 该 报 文中 携带 了 Serverl 
的 标识 〈 了 JP 地址 )。 

(4) 除了 Severl 之 外 的 其 他 DHCP 服务 器 〈 知 有 ) 收 到 PC1 发 送 的 DHCP Request 
报 文 后 ， 知 道 客 户 端 没 有 选择 自己 提供 的 卫 地 址 ， 因 此 将 此 前 预 留 的 地 址 回收 ;Serverl 
收 到 该 DHCP Request 报 文 后 ， 进 行 基本 的 信息 检查 ,检查 通过 后 向 PC1 发 送 DHCP ACK 
报 文 以 做 确认 ; 检查 不 通过 则 发 送 DHCP NAK 报 文 。 PC1 只 有 在 收 到 Serverl 发 送 的 
DHCP ACK 报 文 后 才能 使 用 分 配给 它 的 IP 地 址 ， 在 正式 使 用 该 地 址 之 前 ， 它 可 能 会 做 
一 个 IP 地 址 冲突 检查 ， 即 从 网 卡 发 送 广 播 的 免费 ARP 报 文 ， 用 于 检查 该 广播 域内 是 否 
有 其 他 设备 已 经 占用 了 这 个 IP 地 址 , 在 一 定时 间 后 如 果 没 有 收 到 任何 回应 ，PC1 才能 
开始 使 用 该 卫 地 址 。 

回顾 完 DHCP 的 基本 工作 原理 后 ， 您 可 能 已 经 发 现 了 其 中 不 可 靠 的 地 方 , 一旦 网 络 
中 出 现 非法 的 DHCP 服务 器 , 那么 客户 端的 通信 极 可 能 会 受到 影响 。 在 图 9-12 中 , DHCP 
答 户 问 PC1 与 网 关 路 由 器 GW 连接 在 同一 台 二 层 交 换 机 上 ， 网 络 中 部 团 了 DHCP 服务 
种 Server1， 用 于 同 用 户 分 配 IP 地 址 。 然 而 些 时 交换 机 上 接 入 了 一 台 非 法 的 DHCP 服务 
人 骨 ， 该 服务 占 可 能 是 攻击 者 恶意 部 署 的 ， 也 可 能 是 网 络 管理 员 的 无 心 之 失 ， 误 将 安装 本 
DHCP 服务 关 软 件 的 设备 接 入 到 了 网 络 中 。 当 PC1 通过 DHCP 请 求 IP 地 址 时 ，Serverl 
及 Server2 都 将 回应 DHCP Offer， 此 时 完全 有 可 能 出 现 的 情况 是 PC1 选择 了 Server2 提 
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供 的 卫 地 址 并 最 终 启用 该 地 址 (例如 Server2 率先 回应 DHCP Offer 报 文 )， 由 于 该 人 地 
址 是 非法 的 ， 例 如 并 不 在 本 地 网 段 192.168.10.0/24 范围 内 ， 或 者 默认 网 关 IP 地 址 并 非 
192.168.10.254 等 ， 因 此 PC1 使 用 该 非法 卫 地 址 后 将 出 现 无 法 正常 通信 等 问题 。 

在 SW 上 部 署 DHCP Snooping 即 可 解决 上 述 问 题 。DHCP Snooping 被 视 为 DHCP 的 
一 个 安全 特性 ， 基 本 的 功能 之 一 是 确保 DHCP 客户 端 从 可 信任 的 DHCP 服务 器 获取 合法 
IP 地 址 等 信息 。 在 SW 上 的 相应 VLAN 中 激活 DHCP Snooping 后 ，SW 的 接口 将 存在 两 
种 角色 。 

。 信任 接口 : 信任 接口 允许 接收 包括 DHCP Offer 报 文 在 内 的 服务 器 应 答 报 文 。 

。 非 信 任 接 口 : 非 信 任 接口 不 会 接收 包括 DHCP Offer、DHCP ACK、DHCP NAK 
等 在 内 的 服务 器 应 答 报 文 。 

在 图 9-12 中 ， 可 以 将 交换 机 连接 Serverl 的 接口 指定 为 DHCP Snooping 的 信任 接口 ， 
除 此 之 外 ， 其 他 接口 为 非 信任 接口 。 如 此 一 来 ， 即 使 Server2 收 到 了 PC1 泛 洪 的 DHCP 
Discover 报 文 并 回应 了 DHCP Offer 报 文 , 该 报 文 也 会 在 SW 的 GE0/0/21 接口 上 被 丢弃 ， 
SW 不 会 将 该 报 文 转发 给 PC1, 因此 , 即 可 确保 非法 DHCP 服务 器 Server2 不 会 对 网 络 造 
成 影响 。 







Internet 


192.168.10.254/24 


GE0O/0/20 Server2 


非法 DHCP 服 务 器 


Serverl 


合法 DHCP 服 务 器 | 


PC1 
DHCP 客 户 端 


图 9-12 网络 中 出 现 非法 DHCP 服务 器 


DHCP Snooping 除了 以 上 描述 的 基本 功能 外 ， 还 支持 攻击 防范 功能 ， 例 如 可 防止 
DHCP Server 拒绝 服务 攻击 、DHCP 报 文 泛 洪 攻击 、 仿 冒 DHCP 报 文 攻击 等 。 


9.4.2 ”案例 : DHCP Snooping 的 基础 配置 


在 图 9-12 中 ， 在 SW 上 部 署 DHCP Snooping， 其 关键 配置 如 下 : 
[SW]dhcp enable 
[SWjdhcp snooping enable : 忆 ) 


[SW]vlan 10 
[SW-vlan10]dhcp snooping enable 
[SW-vlan10]quit 
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[SWjinterface GigabitEthernet 0/0/20 

[SW-GigabitEthernet0/0/20]dhep snooping trusted 

在 上 述 配 置 中 ，dhep enable 命令 用 于 全 局 激活 DHCP 功能 ， 系 统 视图 下 执行 的 dhcp 
snooping enable 命令 用 于 全 局 激活 DHCP Snooping 功能 ( 缺 省 时 该 功能 并 未 开启 )， 而 
VLAN 视图 下 执行 的 dhep snooping enable 命令 ， 则 用 于 在 特定 的 VLAN 中 激活 DHCP 
Snooping。 因 此 光 在 系统 视图 下 全 局 激活 DHCP Snooping 是 不 够 的 ， 还 需要 在 特定 的 
VLAN 下 激活 才 行 。 由 于 本 例 中 , PC1 及 两 全 服务 器 均 属 于 VLAN10, 因此 需 在 VLAN10 
中 激活 DHCP Snooping。 

在 接口 配置 视图 下 执行 的 dhep snooping trusted 命令 用 于 将 特定 接口 指定 为 信任 接 
口 ， 缺 省 时 ， 接 口 为 非 可 信任 。 完成 上 述 配置 后 ，PC1 即 可 从 合法 的 DHCP 服务 器 Serverl 
获取 IP 地 址 ，SW 由 于 激活 了 DHCP Snooping 功能 ， 因 此 会 侦 听 DHCP 报 文 的 交互 过 
程 并 将 其 记录 下 来 ， 形 成 如 下 表 项 : 


<SW>display dhcp snooping user-bind all 


DHCP Dynamic Bind-table: 
Flags:O - outer vlan 工 - inner vlan ,P - map vlan 
IPAddress MACAddress VSI/VLAN(O/LP) Interface ease 
192.168.10.2 5489-9810-3f48 10 /~-- /- GEO/O/I 2016.06.29-14:23 
print count 1 total count: ] 

9.5 习题 


1. 〈 单 选 ) 以 下 关于 MAC 地 址 表 的 说 法 ， 错 误 的 是 (  ) 
A. MAC 地 址 表 相 当 于 交换 机 的 一 张 “ 地 图 ”， 当 交换 机 收 到 数据 帧 时 ， 会 
MAC 地 址 表 中 查询 该 帧 的 目的 MAC 地址 ， 如 果 找 到 了 匹配 的 表 项 , 并 且 收 
到 该 帧 的 接口 与 该 表 项 中 对 应 的 接口 不 同时 ， 则 将 该 帧 从 该 表 项 中 对 应 的 接 
口 转发 出 去 。 
B. 交换 机 的 MAC 地 址 表 需 要 占据 设备 的 存储 空间 ， 因 此 它 不 能 无 限 扩 大 。 
C. MAC 地 址 表 项 鹏 态 及 动态 之 分 ， 静 态 MAC 地 址 表 项 需要 网 络 管理 员 手 工 
配置 ， 并 且 永 不 老化 。 
D. MAC 地 址 表 中 的 所 有 表 项 保存 在 交换 机 的 内 存 中 ， 重 局 之 后 表 项 不 会 丢失 。 
2. 〈 单 选 ) 当 交 换 机 弹出 如 下 告警 信息 时 ， 它 将 会 (  ) 
Aug 5201517:45:56-08:00 SW L2IFPPI4/PORTSEC ACTION ALARM:OID 1.3.6.1.4.1.2011 
.5.25.42.2.1.7.6 The number of MAC address on interface (6/6) GigabitEthernet0/0/1 
reaches the limit, and the port status is : 1. (1:restrict;2:protect;3:shutdown) 
A. 丢弃 源 MAC 地 址 不 与 GE0/0/1 接口 的 安全 MAC 地 址 匹配 的 数据 帧 。 
B. 将 GE0/0/1 接口 关闭 。 
C. 仅仅 弹出 该 告警 信息 ， 不 做 其 他 任何 操作 。 
D. 维持 GE0/0/1 接口 的 打开 状态 ， 但 是 荣 止 该 接口 再 接收 任何 数据 帧 。 
3.( 单 选 ) 以 下 关于 DHCP 的 描述 ， 错 误 的 是 (  ) 


二 全 寻 
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. 如 果 在 同一 个 网 段 内 存在 两 台 DHCP 服务 器 ， 那 么 可 能 导致 网 段 内 的 DHCP 


客户 闯 获 取 的 IP 地 址 出 现 紊 乱 。 因 此 一 个 网 段 内 通常 只 允许 存在 一 台 DHCP 
服务 器 。 


. DHCP 客户 端 在 通过 DHCP 自动 获取 IP 地 址 前 ， 必 须知 道 DHCP 服务 器 的 


地 址 。 


. 在 交换 机 上 全 局 激活 DHCP Snooping 后 , 还 需 在 具体 的 VLAN 中 激活 DHCP 


Snooping。 在 接口 视图 下 执行 的 dhep snooping trusted 命令 用 于 将 特定 接口 
指定 为 信任 接口 ， 缺 省 时 ， 接 口 为 非 可 信任 。 


. DHCP Snooping 非 信 任 接 口 不 会 接收 包括 DHCP Offer、DHCP ACK、DHCP 


NAK 等 在 内 的 服务 器 应 答 报 文 。 
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10.1 STP 


对 于 任何 一 个 商用 网 络 来 说 ， 宛 余 性 (Redundancy》 都 是 一 个 必须 考虑 的 问题 。 简 
单 地 说 ， 网 络 的 宛 余 性 设计 主要 包含 两 个 方面 关键 设备 宛 余 ， 以 及 关键 链 路 元 余 。 以 


10-1 所 示 的 网 络 为 例 ， 如 果 SW1 与 SW3 之 间 的 互联 链 路 发 生 故 障 ， 或 者 SW1 发 生 . 


故障 ， 那 么 PC 也 就 无 法 到 达 外 部 网 络 了 ， 因 此 该 交换 网 络 的 元 余 性 较 差 。 

在 典型 的 园区 网 络 中 ， 我 们 通常 会 部 署 元 余 的 设备 或 者 元 余 的 链 路 ， 从 而 使 业务 流 
量 在 故障 发 生 时 能 够 通过 元 余 的 设备 及 链 路 进行 转发 。 如 图 10-2 所 示 ， 网 络 中 增加 了 一 
台 交 换 机 SW2， 然 后 SW3 通过 以 太 网 链 路 分 别 上 联 SW1 和 SW2。 如 此 一 来 ，PC 到 达 
外 部 网 络 的 路 径 束 拥有 了 克 余 性 。 但 是 在 这 种 组 网 中 ，SW1、SW2 及 SW3 及 其 互联 链 
路 就 构成 了 一 个 二 层 环 路 (Layer 2 Loop)。 二 层 环 路 的 危害 是 非常 大 的 ， 会 引发 包括 广 
播 风 暴 、 设 备 MAC 地 址 表亲 乱 、 以 及 MAC 地 址 漂移 等 在 内 的 一 系列 问题 ， 严 重 时 由 
环 路 引发 的 广播 风暴 更 有 可 能 耗 尽 链 路 带宽 ， 或 者 使 设备 的 CPU 利用 率 急剧 攀升 并 导致 
其 无 法 正常 工作 ， 最 终 造 成 网 络 次 次 。 当 然 ， 除 了 上 面 所 描述 的 场景 ， 在 实际 的 网 络 中 
还 有 不 少 二 层 环 路 是 由 于 人 为 的 疏忽 导致 的 ， 例 如 误 接 网 络 线 缆 等 。 


SWI 





SW3 pe . SW3 PC 
图 10-1 该 交换 网 络 的 元 余 性 较 差 图 10-2 ”网络 中 存在 二 层 环 路 


现在 面临 的 问题 是 如 何在 保证 网 络 的 元 余 性 的 情况 下 ， 消 除 二 层 环 路 。 解 决 方案 其 
实 有 不 少 ， 实 际 上 交换 网 络 中 的 二 层 环 路 问题 是 一 个 大 课题 ， 业 界 有 许多 解决 方案 可 以 
应 对 这 个 问题 ， 设 备 厂商 也 都 纷纷 提出 了 自己 的 技术 或 标准 。 解 决 以 太 网 二 层 环 路 问题 
的 最 典型 的 解决 方案 之 一 ， 就 是 生成 树 协 议 ， 这 是 一 个 经 典 的 、 开 放 的 技术 ， 专 门 用 于 
应 对 以 太 网 二 层 环 路 问题 。 

简单 地 说 ， 当 网 络 中 部 署 生 成 树 之 后 ， 交 换 机 之 间 便 会 开始 交互 相关 协议 报 文 ， 并 
在 网 络 中 进行 一 系列 计算 ， 经 计算 得 到 一 个 无 环 的 网 络 拓扑 。 当 网 络 中 存在 环 路 时 ， 生 
成 树 会 将 网 络 中 的 一 个 或 多 个 接口 进行 阻塞 (Block)， 从 而 打破 二 层 环 路 。 如 图 10-3 所 
示 ， 被 生成 树 阻塞 的 接口 不 能 再 转发 数据 ， 这 样 一 来 网 络 中 的 二 层 环 路 问题 便 可 迎 刃 而 
解 。 在 此 之 后 ， 生 成 树 依然 会 监视 网 络 的 拓扑 状况 ， 当 网 络 拓扑 发 生变 更 时 ， 它 能 够 及 
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时 感知 ， 并 且 动 态 地 调整 被 阻塞 接口 ， 这 个 过 程 无 需 人 工 干 预 。 如 图 10-4 所 示 ， 当 SW1 
与 SW3 之 间 的 互联 链 路 发 生 故 障 时 ,生成 树 能 感知 到 变化 的 发 生 , 并 且 将 原先 被 阻塞 的 
接口 切换 到 转发 状态 ， 这 样 一 来 ，SW3 的 上 行 流量 又 可 以 从 右 侧 的 链 路 进行 转发 ， 因 此 
生成 树 不 仅 可 以 在 网 络 中 解决 二 层 环 路 问题 ， 还 可 以 保证 网 络 的 元 余 性 。 





SWI1 SW2 SWI] SW2 
被 生成 树 阻 塞 生成 树 将 接口 恢复 他) 
SW3 SW3 
图 10-3 生成 树 将 特定 的 接口 阻塞 图 10-4 生成 树 能 够 感知 网 络 拓扑 的 


变更 并 及 时 调整 补 阻 塞 接 口 


随 看 网 络 的 发 展 ， 生 成 树 协议 也 在 不 断 地 更 新 ，STP 〈Spanning Tree Protocol， 生 成 
树 协 议 ) 是 早期 的 生成 树 协 议 ， 它 在 IEEE 802.1D 中 定义 。 在 此 之 后 ，IEEE 802.1w 中 
定义 了 RSTP(Rapid Spanning Tree Protocol, 快速 生成 树 协议 ), RSTP 在 许多 方面 对 STP 
进行 了 优化 ， 它 的 收敛 速度 更 快 ， 而 且 能 够 兼容 STP。 后 来 IEEE 802.1s 中 定义 的 MSTP 
(Multiple Spanning Tree Protocol， 多 生成 树 协议 ) 逐渐 成 了 传统 园区 网 杜绝 二 层 环 路 的 
主要 手段 之 一 ，MSTP 能 够 兼容 STP 及 RSTP。 

本 节 主 要 讨论 的 是 IEEE 802.1D 标准 的 STP。 学 习 完 本 节 之 后 ， 我 们 应 该 能 够 。 

e 理解 STP 的 基本 概念 ; 

。 恋情 BPDU， 并 理解 报 文中 各 个 字段 的 含义 ; 

。 理解 STP 的 几 种 计时 器 及 其 作用 ; 

。 理解 STP 拓扑 计算 过 程 ; 

。 理解 STP 的 各 种 接口 状态 及 其 含义 ; 

。 掌握 STP 的 基础 配置 。 


10.1.1 STP 基本 概念 


1. 桥 ID (Bridge Identification ) 

早期 的 交换 机 被 称 为 “ 桥 (Bridge)”， 或 者 “网 桥 ”” 受 限于 当时 的 技术 ， 早 期 交换 
机 的 接口 数量 少 得 可 怜 ， 通 常 只 有 两 个 接口 ， 交 换 机 仅 能 实现 数据 帧 在 这 两 个 接口 之 间 
的 交换 ， 这 也 是 “ 桥 ” 这 一 称呼 的 由 来 。 生 成 树 技术 在 网 桥 时 代 就 已 经 被 提出 并 且 被 应 
用 ， 随 着 网 络 的 发 展 ， 交 换 机 能 够 支持 的 接口 数量 越 来 越 多 ， 因 此 上 述 称呼 逐渐 不 再 被 
使 用 ， 然 而 在 生成 树 等 技术 领域 中 ,“ 桥 ”或 “网 桥 ” 的 称呼 却 一 直 被 沿用 下 来 ， 直 至 今 
日 我 们 在 生成 树 中 依然 会 用 它们 来 称呼 交换 机 。 

每 一 台 运 行 STP 的 交换 机 都 拥有 一 个 唯一 的 桥 ID (Bridge Identification)， 如 图 10-5 
所 示 。 桥 ID 一 共 8byte， 包 含 16bit 的 桥 优先 级 (Bridge Priority) 和 48bit 的 桥 MAC 地 
址 ， 其 中 桥 优先 级 占据 桥 ID 的 高 16bit， 而 MAC 地 址 占据 其 余 的 48bit。 
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桥 ID: 4096，0025-9ef8-0e70 桥 ID: 8192，0025-9ef8-821d 


SW1 SW2 





SW3 
桥 ID: 32768，0025-9ef8-fedd 


桥 优 先 级 。 桥 MAC 地 址 
图 10-5 每 台 运 行 STP 的 交换 机 都 有 一 个 唯一 的 桥 ID 


2. 根 桥 (Root Bridge ) 

STP 的 主要 作用 之 一 是 在 整个 交换 网 络 中 计算 出 一 棵 无 环 的 “ 树 ”(STP 树 )， 这 棵 
树 一 旦 形成 ， 网 络 中 的 无 环 拓扑 也 就 形成 了 。 对 于 这 棵 树 而 言 ， 树 根 是 非常 重要 的 ， 树 
根 一 旦 明确 了 ,“ 树 校 ” 才 能 沿 大 网 络 拓扑 进行 延展 ，STP 的 根 桥 就 是 这 棵 树 的 树 根 ， 如 
图 10-6 所 示 ， 它 的 角色 至 关 重 要 ，STP 的 一 系列 计算 均 以 根 桥 为 参考 点 。 当 STP 开始 
工作 后 ， 第 一 件 事情 就 是 在 网 络 中 选举 出 根 桥 。 在 一 个 交换 网 络 中 ， 根 桥 只 会 有 一 个 。 





人 被 生成 树 阻 塞 ”性 一 棵 无 环 的 树 
图 10-6 在 交换 网 络 中 计算 出 无 环 的 拓扑 


网 络 中 拥有 最 小 桥 ID 的 交换 机 将 成 为 根 桥 。 在 比较 桥 ID 时 ， 首 先 比 的 是 桥 优先 级 ， 
桥 优 先 级 的 值 最 小 的 交换 机 将 胜出 成 为 根 桥 ， 如 果 桥 优先 级 相等 ， 那 么 MAC 地 址 最 小 
的 交换 机 将 成 为 根 桥 。 

华为 交换 机 缺 省 的 桥 优 先 级 为 32768， 可 在 系统 视图 下 使 用 stp priority 命令 修改 ， 
优先 级 的 取 值 范围 是 0 一 61440， 并 且 必 须 为 4096 的 倍数 ， 例 如 0、4096、8192 等 。 

3. 开销 (Cost ) 与 根 路 径 开 销 (Root Path Cost，RPC ) 

每 一 个 激活 了 STP 的 接口 都 维护 着 一 个 Cost 值 ， 接 口 的 Cost 主要 用 于 计算 RPC， 
也 就 是 计算 到 达 根 的 开销 。 接 口 的 缺 省 Cost 除了 与 其 速率 、 工 作 模 式 有 关 ， 还 与 交换 机 
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使 用 的 STP Cost 计算 方法 有 关 。 华 为 的 交换 产品 支持 3 种 计算 方法 ， 它 们 分 别 是 IEEE 
802.1D-1998 标准 方法 、IEEE 802.1t 标准 方法 以 及 华为 私有 的 计算 方法 (以 S5700 交换 
机 为 例 ， 缺 省 使 用 IEEE 802.1t 标准 )。 

表 10-1 展示 了 接口 速率 与 接口 缺 省 Cost 的 对 应 关系 。 以 1Gbps 的 接口 为 例 ， 如 果 
交换 机 使 用 802.1t 的 计算 方法 ， 那 么 该 接口 的 缺 省 Cost 为 20000。 





表 10-1 接口 速率 与 缺 省 cost 的 对 应 关系 
接口 速率 IEEE 802.1t 
fw HalfDupltx | 10 : | 2,000,000 2000 
Full-Duplex | 9 | 1,999,999 1999 
HafDuplex | 19 | ?oo 
100Mbps Half-Duplex 00,000 200 
Full-Duplex | - 18 | 199,999 199 
1Gbps Full-Duplex 20,000 20 
10Gbps Full-Duplex 2000 2 
40Gbps | FullDuplex | 1 | 500 


在 交换 机 的 系统 视图 下 使 用 stp pathcost-standard 命令 ， 可 修改 其 Cost 计算 方法 ， 
该 命令 有 3 个 可 选 关 键 字 。 

。 dot1d-1998: IEEE 802.1D-1998 标准 方法 。 

e dotlt: IEEE 802.1t 标准 方法 。 

。 legacy: 华为 计算 方法 。 

例如 执行 stp pathcost-standard legacy 命令 ， 则 交换 机 的 Cost 计算 方法 将 被 修改 为 
华为 计算 方法 。 当 然 ， 修 改 交 换 机 的 Cost 计算 方法 需要 非常 谨慎 ， 如 果 确 实 需 要 修改 ， 
那么 需 保 证 交换 网 络 中 所 有 STP 设备 使 用 SW1 ( 根 桥 ) 
一 致 的 计算 方法 。 

接口 Cost 是 一 个 非 第 重要 的 变量 ， 它 
将 影响 STP 对 于 链 路 的 优选 。 在 STP 的 拓 Portl 
扑 计 算 过 程 中 ， 一 个 非常 重要 的 环节 就 是 。 “ep 
“丈量 ”交换 机 某 个 接口 到 根 桥 的 “成 本 ”， 5 
我 们 将 这 个 “成 本 ” 称 为 RPC (Root Path 
Cost, 根 路 径 开 销 )。 以 图 10-7 所 示 的 网 络 
为 例 ，SW?2 与 根 桥 SW1 直 连 , 因此 其 通过 
Portl 到 达 根 桥 的 RPC 为 20， 也 即 Portl 
的 接口 Cost。SW3 通过 Port2 接口 与 根 桥 
直 连 ， 因 此 其 通过 该 接口 到 达 根 桥 的 RPC 
为 200。 而 对 于 SW4 而 言 ， 其 通过 Port3 到 达 根 桥 的 RPC 为 Portl 的 Cost 与 Port3 的 
Cost 之 和 ， 也 即 40; 通过 Port4 到 达 根 桥 的 RPC 为 Port2 的 Cost 与 Port4 的 Cost 之 和 ， 
也 即 220。RPC 是 一 个 衡量 链 路 优 劣 的 重要 指标 ， 在 本 案例 中 ， 对 于 SW4 而 言 ， 其 
Port3 相 比 于 Port4 到 达 根 桥 的 RPC 要 更 小 ， 因 此 从 这 个 层面 看 ，Port3 这 一 侧 的 链 路 
要 更 优 。 






Port2 
Cost=200 


: 






Port3 
Cost=20 


Port4 
Cost=20 


SW4 


图 10-7 RPC 的 计算 
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4. 接口 ID (了 Port Identification ) 

运行 STP 的 交换 机 使 用 接口 ID 来 标识 每 个 接口 , 接口 ID 主要 用 于 在 特定 场景 下 选 
举 指定 接口 。 接 口 ID 长 度 为 16bit， 由 两 部 分 组 成 ， 其 中 高 4bit 是 接口 优先 级 ， 低 12bit 
是 接口 编号 。 以 华为 S5700 交换 机 为 例 ， 缺 省 时 接口 优先 级 为 128， 可 在 接口 视图 下 使 
用 stp port priority 命令 修改 ， 优 先 级 的 取 值 范围 是 0 一 240， 并 且 必 须 是 16 的 倍数 ， 例 
如 0、16、32 等 。 


10.1.2 STP 的 基本 操作 过 程 


STP 通过 4 个 步骤 来 保证 网 络 中 不 存在 二 层 环 路 : 

1. 在 交换 网 络 中 选举 一 个 根 桥 (Root Bridge，RB ) 

关于 根 桥 的 概念 ， 上 文 已 经 阐述 过 了 ，STP 的 计算 需要 一 个 参考 点 ， 而 根 桥 就 是 这 
个 参考 点 ， 它 是 STP 经 计算 得 到 的 这 棵 无 环 的 树 的 树 根 。 桥 ID 最 小 的 交换 机 将 成 为 根 
桥 。 对 于 一 个 交换 网 络 而 言 ， 正 常情 况 下 只 会 存在 一 个 根 桥 。 

以 图 10-8 所 示 的 网 络 为 例 ，SW1、SW2 及 SW3 的 桥 优先 级 都 是 32768， 因 此 MAC 
地 址 最 小 的 SW1 成 为 网 络 中 的 根 桥 。STP 的 正常 工作 依赖 于 该 协议 所 使 用 的 报 文 的 正常 
交互 ， 这 种 报 文 就 是 BPDU (Bridge Protocol Data Unit， 网 桥 协议 数据 单元 )，BPDU 中 
包含 看 几 个 重要 的 数据 ， 这 些 数据 是 STP 进行 无 环 拓扑 计算 的 关键 。 


优先 级 32768 BPDU 优先 级 32768 


100BASE-T 





SW3 


优先 级 32768 
MAC 0025-9e00-0003 


图 10-8 在 网 络 中 选举 一 个 根 桥 


值得 注意 的 是 ， 根 桥 的 地 位 是 具有 可 抢占 性 的 ， 以 图 10-8 为 例 ， 在 STP 完成 收敛 
后 ， 如 果 网 络 中 接 入 了 一 台新 的 交换 机 ， 而 且 这 台新 增 的 交换 机 的 优先 级 为 4096， 比 现 
有 根 桥 SW1 的 优先 级 更 高 ， 那 么 该 新 增 的 交换 机 将 成 为 网 络 中 的 新 根 桥 ， 与 此 同时 ， 
STP 将 重新 收敛 、 重 新 计算 网 络 拓 扑 ， 在 这 个 过 程 中 有 可 能 引发 网 络 震荡 ， 从 而 对 业务 
流量 的 正常 转发 造成 影响 ， 可 见 根 桥 角 色 的 稳定 性 是 多 么 重要 。 

2. 在 每 个 非 根 桥 上 选举 一 个 根 接口 (Root Port，RP ) 

在 一 个 交换 网 络 中 ， 除 了 根 桥 之 外 的 其 他 交换 机 都 是 非 根 桥 ，STP 将 为 每 个 非 根 桥 
选举 一 个 根 接口 ， 所 谓 根 接口 ， 实 际 上 是 非 根 桥 上 所 有 接口 中 收 到 最 优 BPDU 的 接口 ， 
可 以 简单 地 将 其 理解 为 交换 机 在 STP 树 上 “朝向 ” 根 桥 的 接口 。 非 根 桥 可 能 会 有 一 个 或 
多 个 接口 接 入 同一 个 交换 网 络 ，STP 将 在 这 些 接口 之 中 选举 出 一 个 《而且 只 会 选 一 个 ) 
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根 接口 。 

在 STP 收敛 完成 之 后 ， 根 桥 依然 会 周 
期 性 地 向 网 络 中 发 送 BPDU, 而 非 根 桥 则 会 ”sw1 SS 
周期 性 地 在 上 自己 的 根 接 口上 收 到 BPDU, 并 
沿 看 STP 树 向 下 游 转发 。 

在 图 10-9 中 ，SW2 及 SW3 均 为 非 根 桥 ， 
以 SW3 为 例 ， 在 STP 收敛 过 程 中 ， 它 在 自 
己 的 Portl 及 Port2 接口 上 都 会 收 到 BPDU， 
SW3 会 将 这 两 个 BPDU 进行 比较 ， 收 到 最 
优 BPDU 的 接口 Portl 将 成 为 根 接口 。 所 谓 图 10-9 ”在 每 台 非 根 桥 上 选举 一 个 根 接口 
的 BPDU 优 劣 ， 是 通过 一 套 比 较 规则 计算 得 出 的 结果 ， 这 部 分 内 容 将 在 后 续 的 小 节 中 详 
细 介 绍 。 最 终 ，SW2 的 Portl 及 SW3 的 Portl 成 为 了 根 接口 。 

3. 选举 指定 接口 ( Designated Port，DP ) 

STP 将 在 每 个 网 段 中 选举 一 个 指定 接口 ， 这 个 接口 是 该 网 段 内 所 有 接口 中 到 达 根 桥 
的 最 优 接口 。 此 外 ， 指 定 接口 还 负责 向 该 网 段 发 送 BPDU。 

对 于 非 根 桥 而 言 ， 其 所 有 接口 中 收 到 最 优 BPDU 的 接口 将 成 为 该 设备 的 根 接口 ， 随 
后 该 非 根 桥 使 用 目 己 接收 的 最 优 BPDU， 为 本 设备 上 的 其 他 接口 各 计算 一 个 BPDU， 然 
后 使 用 计算 出 的 BPDU 与 接口 上 所 维护 的 BPDU (接口 自身 也 会 从 网 络 中 收 到 BPDU， 
并 将 BPDU 保存 起 来 ) 进行 比较 ， 如 果 前 者 更 优 ， 那 么 该 接口 将 成 为 指定 接口 ， 并 且 其 
所 保存 的 BPDU 也 被 前 者 替代 , 交换 机 将 蔡 代 后 的 BPDU 从 该 指定 接口 转发 给 下 洲 交 换 
机 ; 如 果 后 者 更 优 ， 那 么 该 接口 将 成 为 非 指定 接口 〈 非 指定 接口 指 的 是 既 不 是 根 接口 ， 
又 不 是 指定 接口 的 接口 )。 

综 上 所 述 ,对 于 非 根 桥 而 言 , 根 接 口 的 选举 过 程 是 非 根 桥 将 自己 所 收 到 的 所 有 BPDU 
进行 比较 ,而 指定 接口 的 选举 过 程 则 是 非 根 桥 用 上 自己 计算 出 的 BPDU 跟 别 的 设备 发 过 来 
的 BPDU 进行 比较 。 

在 图 10-10 中 ， 在 SW1 与 SW2 之 间 的 网 段 中 ，SW1 的 Portl 被 选举 为 指定 接口 ; 
在 SW1 与 SW3 之 间 的 网 段 中 ，SW1 的 Port2 被 选举 为 指定 接口 。 一 般 而 言 ， 根 桥 的 所 
有 接口 都 是 指定 接口 。 另外 ,STP 还 会 在 SW2 及 SW3 之 间 的 网 段 中 选举 一 个 指定 接口 ， 
最 终 SW2 的 Port2 接口 胜出 ， 成 为 该 网 段 的 指定 接口 。 

指定 接口 根 接口 








图 10-10 ”选举 指定 接口 
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4， 阻 塞 非 指定 接口 ， 打 破 二 层 环 路 

经 STP 计算 后 ， 如 果 交 换 机 的 某 个 (或 者 某 些 ) 接口 既 不 是 根 接口 又 不 是 指定 接口 
(我 们 将 这 种 接口 称 为 非 指定 接口 )， 那 么 该 接口 将 会 被 STP 阻塞 ， 如 此 一 来 网 络 中 的 二 
层 环 路 也 就 被 打破 了 。 在 图 10-11 中 ，SW3 的 Port2 由 于 既 不 是 根 接口 ， 又 不 是 指定 接 
口 ， 因 此 被 阻塞 。 被 阻塞 的 接口 既 不 会 接收 也 不 会 转发 业务 数据 〈 业 务 数 据 有 别 于 
BPDU， 可 以 简单 地 理解 为 网 络 中 例如 PC 等 设备 发 送 的 应 用 数据 )， 另 外 该 接口 不 会 发 
送 BPDU， 但 是 会 持续 侦 听 BPDU， 以 便 感 知 网 络 拓扑 的 变更 情况 。 






100BASE-T 


又 不 是 指定 接口 


SW3 
图 10-11 阻塞 非 指 定 接 口 ， 打 破 二 层 环 路 


10.1.3 STP 报 文 


在 一 个 交换 网 络 中 ，STP 能 够 正常 工作 的 基本 前 提 是 BPDU 的 正常 交互 。STP 的 
BPDU 有 两 种 类 型 : 配置 BPDU (Configuration BPDU) 及 TCN BPDU (Topology Change 
Notification BPDU )。 两 种 BPDU 各 有 各 的 用 途 。BPDU 载荷 被 直接 封装 在 以 太 网 数据 帧 
中 ， 数 据 帧 的 目的 MAC 地 址 是 组 播 MAC 地 址 : 0180-c200-0000。 

1. 配置 BPDU 

配置 BPDU 是 STP 进行 拓扑 计算 的 关键 。 在 交换 网 络 的 初始 化 过 程 中 , 每 台 交 换 机 
都 从 自己 激活 了 STP 的 接口 向 外 发 送 配 置 BPDU。 当 STP 收敛 完成 后 ， 只 有 根 桥 才 会 周 
期 性 地 发 送 配 置 BPDU 〈 缺 省 时 ， 以 2s 为 周期 发 送 配 置 BPDU， 可 以 在 设备 的 系统 视图 
下 使 用 stp timer hello 命令 修改 发 送 周 期 )， 而 非 根 桥 则 会 在 自己 的 根 接 口上 收 到 上 游 发 
送 过 来 的 配置 BPDU， 并 立即 被 触发 而 产生 自己 的 配置 BPDU， 然 后 从 自己 的 指定 接 
口 发 送出 去 。 这 一 过 程 看 起 来 就 像 是 根 桥 发 出 的 配置 BPDU 逐 跳 地 “经 过 ”了 其 他 的 


交换 机 。 
表 10-2 展示 了 配置 BPDU 的 报 文 格式 。 
表 10-2 配置 BPDU 格式 
字 节 数 | 字段 bn , ee 






2 协议 ID (Protocol Identifier) | 对 于 STP 而 言 ， 该 字段 的 值 总 为 0 


协议 版 本 ID ee i 
. (Protocol Version Identifier) 对 于 STP 而 吉 ， 该 池 段 的 但 总 为 0 


指示 本 BPDU 的 类 型 , 者 值 为 0x00, 则 表示 本 报 文 为 配置 
BPDU 关于“BPDU Type) | BPDU， 若 值 为 0x80， 则 本 报 文 为 TCN BPDU 
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( 续 表 ) 






Oa baa ee 


对 于 STP 而 言 , 该 字段 ( 共 8bit) 用 于 网 络 拓扑 变化 标志 。 
STP 只 使 用 了 该 字段 的 最 高 及 最 低 两 个 比特 位 ， 最 低位 是 
TC (Topology Change， 拓 扑 变更 ) 标志 ， 最 高 位 是 TCA 
(Topology Change Acknowledgment， 拓 扑 变更 确认 ) 标志 








标志 (Flag) 


8 根 桥 的 桥 ID 
4 到 达 根 桥 的 STP 路 径 开 销 ， 也 就 是 根 路 径 开销 
8 网 桥 ID (Bridge Identifier) | 发 送 本 BPDU 的 交换 机 的 桥 ID 
2 发 送 本 BPDU 的 接口 的 接口 ID 
本 BPDU 的 寿命 。 实 际 上 这 并 不 是 一 个 时 间 值 。 在 根 桥 所 
5 消息 寿命 (Rieasageasg) 发 送 的 BPDU 中 ， 该 字段 值 为 0， 此 后 BPDU 每 经 过 一 个 


交换 设备 ， 该 字段 值 增加 1， 因 此 实际 上 这 个 字段 指示 的 
是 BPDU 所 经 过 的 交换 设备 的 个 数 
2 最 大 寿命 (Max age ) BPDU 的 最 大 存活 时 间 ， 也 被 称 为 老化 时 间 ， 缺 省 为 20s 
BPDU 的 发 送 时 间 间隔 ， 人 省 为 28 


2 接口 在 侦 听 和 学 习 状 态 所 停留 的 时 间 ， 缺 省 为 15s 


2. TCN BPDU 

TCN BPDU 的 格式 非常 简单 ,只 有 表 10-2 的 “协议 ID”、“ 协 议 版 本 ID” 以 及 “BPDU 
类 型 ”三 个 字段 ， 并 且 “BPDU 类 型 ”字段 的 值 为 0x80。TCN BPDU 用 于 在 网 络 拓扑 发 
生变 化 时 向 根 桥 通 知 变化 的 发 生 。 

对 于 STP 而 言 ， 当 拓扑 发 生变 更 时 ， 远 离 变 更 点 的 交换 机 无 法 直接 感知 到 变化 的 发 
生 ， 此 时 它们 的 MAC 地 址 表 项 还 是 老 旧 的 ， 如 果 依 然 通 过 这 些 MAC 地 址 表 项 来 指导 
数据 转发 ， 便 有 可 能 出 现 问题 。 因 此 STP 需要 一 种 机 制 ， 用 于 在 网 络 中 发 生 拓 扑 变 更 时 
促使 全 网 的 交换 机 尽快 老化 自己 的 MAC 地 址 表 项 ， 以 便 适 应 新 的 网 络 拓 扑 。 当 拓扑 稳 
定时 ， 网 络 中 只 会 出 现 配 置 BPDU， 而 当 拓 扑 发 生变 更 时 ，STP 会 使 用 TCN BPDU， 以 
及 两 种 特殊 的 配置 BPDU。 

(1) TCN BPDU 

正如 上 文 所 说 ，TCN BPDU 用 于 在 网 络 拓扑 发 生变 化 时 间 根 桥 通知 变化 的 发 生 。 
TCN BPDU 需要 从 发 现 拓扑 变更 的 交换 机 传递 到 根 桥 ， 而 该 交换 机 与 根 桥 之 间 可 能 隔 着 
多 台 交 换 机 ， 感 知 到 拓扑 变化 的 交换 机 会 从 其 根 接 口 发 送 TCN BPDU， 也 就 是 朝 着 根 桥 
的 方向 发 送 TCN BPDU， 该 报 文 会 一 跳 一 跳 〈 每 一 跳 就 是 一 台 上 游 交 换 机 ) 地 向 上 游 传 
递 ， 直 至 抵达 根 桥 ， 如 图 10-12 所 示 。 

(2)“ 标 志 ” 字 段 中 TCA 比特 位 被 设置 为 1 的 配置 BPDU 

STP 要 求 TCN BPDU 从 发 现 拓扑 变更 的 交换 机 传递 到 根 桥 的 过 程 是 可 靠 的 , 因此 当 
一 台 交 换 机 收 到 下 游 发 送 上 来 的 TCN BPDU 后 ， 需 使 用 “标志 ”字段 中 TCA 比特 位 被 
设置 为 1 的 配置 BPDU 回应 对 方 并 向 自己 的 上 游 发 送 TCN BPDU ,这 个 过 程 将 一 直 持 续 ， 
直到 根 桥 收 到 该 TCN BPDU。 

(3)“ 标 志 ” 字 段 中 TC 比特 位 被 设置 为 1 的 配置 BPDU 

根 桥 收 到 TCN BPDU 后 , 也 就 意识 到 了 拓扑 变化 的 发 生 , 接 下 来 它 要 将 该 变化 通知 
到 全 网 ， 它 将 向 网 络 中 泛 洪 “标志 ”字段 中 TC 比特 位 被 设置 为 1 的 配置 BPDU， 网 络 
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中 的 交换 机 收 到 该 配置 BPDU 后 ,会 立即 将 其 MAC 地 址 表 的 老化 时 间 从 原 有 的 值 调整 
为 一 个 较 小 的 值 ( 该 值 等 于 转发 延迟 时 间 )， 使 MAC 地 址 表 能 够 尽快 刷新 ， 以 便 适 应 新 
的 网 络 拓扑 。 





根 桥 
@ nl 丘 扑 变化 : 
3 TCN BPDU : 
TCA 置 位 的 了 TCN BPDU ; 
配置 BPDU : : 
: TCA 置 位 的 ; TCN BPDU i 
配置 BPDU , 
: TOA : 
配置 BPDU : 
二 一 一 一 名 BPDU : 
本 人 抽 于 老化 MAC 地 址 表 项 
TC 置 位 的 配置 : : 
BPDU i 
老化 MAC 地 址 表 项 
老化 MAC 地 址 表 项 


图 10-12 ”STP 拓扑 变更 与 相关 的 BPDU 
10.1.4 STP 的 时 间 参 数 


STP 定义 了 三 个 重要 的 时 间 参 数 。 

。 Hello Time (Hello 时 间 ) : 运行 了 STP 的 交换 机 发 送 配 置 BPDU 的 时 间 间 隔 ， 
缺 省 为 28。 如 需 修改 STP 发 送 配置 BPDU 的 时 间 间 隔 ， 那 么 必须 在 根 桥 上 修改 ， 修 改 
完成 后 ， 所 有 的 非 根 桥 都 与 根 桥 对 齐 该 时 间 值 。 

。 Forward Delay (转发 延迟 ) : 运行 了 STP 的 接口 从 侦 听 状态 进入 学 习 状 态 ， 或 
者 从 学 习 状 态 进 入 转发 状态 的 延迟 时 间 ， 缺 省 为 1$s。 为 了 避免 在 生成 树 收敛 过 程 中 网 
络 中 可 能 出 现 的 临时 环 路 ， 或 者 短暂 的 数据 帧 泛 洪 现 象 ,， -STP 定义 了 侦 听 及 学 习 这 两 种 
接口 状态 ， 并 要 求 接口 从 阻塞 状态 进入 转发 状态 前 必须 先 经 历 这 两 个 状态 ， 而 且 分 别 在 
这 两 个 状态 各 停留 一 个 转发 延迟 时 间 。 这 意味 看 对 于 STP 而 言 ， 一 个 被 阻塞 的 接口 被 选 
举 为 根 接口 或 指定 接口 后 ， 进 入 转发 状态 之 前 至 少 需 要 经 历 30s 的 时 间 。 

。 Max Age (最 大 生存 时 间 ) : BPDU 的 最 大 生存 时 间 ， 也 被 称 为 BPDU 的 老化 时 
间 ， 缺 省 为 208。 以 非 根 桥 的 根 接口 为 例 ， 该 设备 将 在 这 个 接口 上 保存 来 目 上 游 的 最 优 
BPDU, 这 个 BPDU 关联 大 一 个 最 大 生存 时 间 , 如 果 在 该 BPDU 到 达 最 大 生存 时 间 之 前 ， 
接口 再 一 次 收 到 了 BPDU， 那 么 其 最 大 生存 时 间 将 会 被 重 置 ， 而 如 果 接 口 一 直 没 有 再 收 
到 BPDU 从 而 导致 该 接口 上 保存 的 BPDU 到 达 最 大 生存 时 间 ， 那 么 该 BPDU 将 被 老化 ， 
此 时 设备 将 会 重新 在 接口 上 选择 最 优 BPDU， 也 就 是 重新 进行 根 接口 的 选举 。 

受 限 于 几 个 时 间 参 数 的 设计 , 一 个 STP 接口 要 从 阻塞 状态 进入 转发 状态 可 能 需 花费 
约 30 一 50s 左右 的 时 间 ， 而 在 这 段 时间 内 ， 网 络 中 的 业务 可 能 就 会 受到 影响 。 
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10.1.5 ”BPDU 的 比较 原则 


对 于 STP 而 言 ， 最 重要 的 工作 就 是 在 交换 网 络 中 计算 出 一 个 无 环 拓扑 ， 并 在 网 络 中 
存在 二 层 环 路 的 情况 下 打破 环 路 。 在 拓扑 计算 的 过 程 中 ， 一 个 非常 重要 的 内 容 就 是 配置 
BPDU 的 比较 。 在 配置 BPDU 中 ， 有 四 个 字段 非常 关键 ， 它 们 是 “ 根 桥 ID”、“RPC”、 
“网 桥 ID” 以 及 “接口 ID ”， 这 四 个 字段 便 是 交换 机 进行 配置 BPDU 比较 的 关键 内 容 。 

STP 按照 如 下 顺序 选择 最 优 的 配置 BPDU。 

。 最 小 的 根 桥 ID; 

。 最 小 的 RPC:; 

。 最 小 的 网 桥 ID; 

。 最 小 的 接口 ID。 

在 这 四 条 原则 中 (每 条 原则 都 对 应 配置 BPDU 中 的 相应 字段 )， 第 一 条 原则 主要 用 
于 在 网 络 中 选举 根 桥 , 后 和 面 的 原则 主要 用 于 选举 根 接口 及 指定 接口 。 假设 有 两 个 BPDU， 
第 一 个 BPDU 中 “ 根 桥 ID”“RPC”“ 网 桥 ID” 以 及 “接口 ID” 字段 的 内 容 分 别 是 
“32768 0025-9ef8-0e70、20000、32768 0025-0201-0132、128 15”， 另 一 个 BPDU 是 : 
“32768 0025-9ef8-0e70、20000、32768 0025-0201-a298、128 19”， 首 先 这 两 个 配置 BPDU 
的 “ 根 桥 ID ”字段 都 相同 ， 其 次 “RPC” 字 段 也 相同 ， 而 前 者 的 “网 桥 ID” 有 字段 值 小 于 
后 者 (网 桥 MAC 地 址 更 小 )， 因 此 前 者 更 优 。 


10.1.6 ”BPDU 的 交互 与 拓扑 计算 


初始 情况 下 ， 交 换 网 络 中 的 所 有 交换 机 都 认为 自己 是 根 桥 ， 这 些 设 备 开 始 运行 后 从 
自己 所 有 激活 了 STP 的 接口 发 送 BPDU (在 本 书后 续 的 内 容 中 ， 如 果 没 有 特别 说 明 ， 那 
么 BPDU 指 的 是 配置 BPDU)。 如 图 10-13 所 示 ，SW1 及 SW2 均 在 目 己 的 接口 上 发 送 目 
己 的 BPDU， 图 中 只 为 大 家 展示 了 BPDU 中 最 重要 的 四 个 字段 。 











根 桥 ID: SW1 的 桥 ID 
i 
网 桥 ID: SW1 的 桥 ID 


接口 ID: GE0/0/2 的 接 DRID 









一 一 
根 桥 ID: SW1 的 桥 ID 

Te Ep 
网 桥 ID: SW1 的 桥 ID 


图 10-13 ”初始 时 BPDU 的 交互 


(1) 由 于 两 者 都 认为 自己 是 根 桥 ， 因 此 在 它们 各 自发 送 的 BPDU 中 ,“ 根 桥 ID” 字 
段 均 填写 的 是 自己 的 桥 ID， 而 “RPC” 了 字段 则 填写 的 是 0。 根 桥 发 出 的 BPDU 中 RPC 


优先 级 4096 
MAC 0a00.00aa. 111] 


优先 级 32768 
MAC 0a00.00aa. 2222 
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始终 为 0， 毕 葛根 桥 到 达 目 己 无 需 付 出 任何 成 本 。 另 外 “网 桥 ID” 字 段 填写 的 是 该 BPDU 
发 送 者 的 桥 ID， 而 “接口 ID” 字段 则 填写 的 是 发 送 该 BPDU 的 接口 的 接口 ID。 

(2) SW1 及 SW2 部 将 收 到 对 方 发 送 过 来 的 BPDU 并 开始 进行 BPDU 的 比较 一 一 将 
对 方 的 BPDU 与 自己 接口 上 的 BPDU 进行 比较 ， 按照 “BPDU 的 比较 原则 ”一 节 中 介绍 
的 原则 依 序 进行 。 实 际 上 ， 在 第 一 个 原则 (最 小 的 根 桥 ID) 的 比较 中 ，SW2 便 已 经 判 
断 出 对 方 发 送 的 BPDU 要 比 本 地 的 更 优 ,。 现在 SW2 接受 了 SW1 为 根 桥 的 事实 , 而 SWI1 
则 认定 目 己 是 根 桥 ， 它 将 忽略 SW2 发 送 的 BPDU， 并 继续 周期 性 地 从 自己 的 接口 发 送 
BPDU. 

(3) 接 下 来 ，SW2 将 开始 根 接口 选举 。 由 于 SW2 在 GE0/0/3 及 GE0/0/4 接口 上 收 
到 的 BPDU 都 比 目 己 本 地 的 BPDU 更 优 ， 因 此 它 使 用 对 方 的 BPDU 更 新 自己 本 地 的 
BPDU， 如 图 10-14 所 示 。 然 后 SW2 将 比较 自己 所 有 接口 上 的 BPDU， 拥 有 最 优 BPDU 
的 接口 将 成 为 其 根 接口 。 






根 桥 ID: SW1 的 桥 ID 
FREE 


RPC: 0 
网 桥 ID: SW1 的 桥 ID 
接口 ID: GE0/0/2 的 接口 ID 


GEO0/0/4(Cost=20000) 





GEO0/0/2 














GEO/O/ GEO/0/3(Cost=20000) 


> 
Sw 根 桥 ID: SW1 的 桥 ID 


网 桥 ID: SW1 的 桥 ID 
接口 ID: GE0/0/1 的 接口 人 D 


图 10-14 SW?2 选举 根 接口 





对 于 SW2 在 GE0/0/3 及 GE0/0/4 接口 上 保存 的 这 两 个 BPDU， 它 们 的 “ 根 桥 ID” 
字段 是 相同 的 ， 而 它 通 过 这 两 个 接口 到 达 根 桥 的 RPC 又 都 是 20000〈 以 GE0/0/3 接口 为 
例 ，SW2 从 该 接口 到 达 根 桥 的 RPC 等 于 它 在 该 接口 上 收 到 的 BPDU 中 的 RPC 加 上 该 接 
口 的 Cost， 也 就 是 0+20000， 结 果 等 于 20000。GE0/0/4 同 理 )。 男 外 ， 这 两 个 BPDU 的 
“网 桥 ID 字段 也 相同 ,因此 SW2 将 比较 这 两 个 BPDU 的 “接口 ID ”字段 。 由 于 在 GE0/0/3 
接口 上 到 达 的 BPDU 是 由 SW1 的 GE0/0/1 接口 发 出 , 而 在 GE0/0/4 接口 上 到 达 的 BPDU 
是 由 SW1 的 GE0/0/2 接口 发 出 ， 故 此 时 其 实 比较 的 是 SW1 的 GE0/0/1 及 GE0/0/2 的 接 
口 ID。 大 家 都 知道 ， 接 口 ID 包含 两 部 分 : 接口 优先 级 和 接口 编号 ， 接 口 优先 级 的 值 最 
小 的 将 胜出 ， 而 如 果 接 口 优先 级 都 相等 ， 那 么 接口 编号 最 小 的 将 胜出 。 

在 本 例 中 ， 这 两 个 接口 的 优先 级 相同 ， 而 由 于 GE0/0/1 的 接口 编号 比 GE0/0/2 更 小 ， 所 
以 对 于 SW2 而 言 ， 在 其 GE0/0/3 接口 上 到 达 的 BPDU 更 优 ， 于 是 该 接口 成 为 SW2 的 根 接口 。 

(4) SW2 的 根 接口 选举 出 来 后 , 它 使 用 当前 在 根 接 口上 保存 的 最 优 BPDU 为 其 他 接 
口 计 算 BPDU。 以 SW2 为 其 GE0/0/4 接口 计算 的 BPDU 为 例 ， 具 体 的 做 法 是 ， 如 图 10-15 
所 示 。 
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GE0/0/4 当 前 保存 的 BPDU 


根 桥 ID: SW1 的 桥 ID 










网 桥 ID: SW1 的 桥 ID 
接口 ID: GE0/0/2 的 接口 ID 


GEO/0/4 
Cost=20000 


为 GE0/0/4 计 算出 的 BPDU 











GEO0/0/3 
SWI Cost=20000 sw2 


根 接口 


图 10-15 SW?2 选举 指定 接口 


e 在 “ 根 桥 ID” 字段 中 写 入 最 优 BPDU 中 的 根 桥 ID， 也 就 是 SW1 的 桥 ID。 

e 在 “RPC” 了 字段 中 写 入 最 优 BPDU 中 的 RPC 与 根 接口 (GE0/0/3) 的 Cost 之 和 ， 
也 就 是 20000。 

e。 在 “网 桥 ID ”字段 中 写 入 本 设备 的 桥 ID， 也 就 是 SW2 的 桥 ID。 

e。 在 “接口 ID” 字段 中 写 入 本 接口 的 ID， 也 就 是 GE0/0/4 接口 的 ID。 

完成 上 述 操作 后 , SW2 将 其 为 GE0/0/4 计算 出 的 BPDU 与 该 接口 当前 保存 的 BPDU 
进行 比较 , 很 明显 后 者 更 优 , 于 是 SW2 将 该 接口 认定 为 非 指定 接口 -SW2 继续 在 GE0/0/4 
接口 上 保存 SW1 发 送 的 BPDU， 并 且 持 续 侦 听 该 BPDU。 

(5) 到 目前 为 止 ， 网络 的 拓扑 已 经 计算 完毕 ，SW2 的 GE0/0/4 接口 将 被 阻塞 ， 从 而 
网 络 中 的 二 层 环 路 被 打破 ， 如 图 10-16 所 示 。 












最 优 BPDU 





周期 性 发 送 BPDU 







GEO0/0/2 
指定 接口 周期 性 发 送 BPDU 


RY) GEO/0/4 
Fa 
wma GEO/O/1 GEO/0/3 “wa 
SW1 指定 接口 根 接口 sw2 
被 STP 阻 塞 


图 10-16 ”STP 完成 收敛 ， 环 路 被 打破 


10.1.7 ”STP 接口 状态 
STP 除了 定义 了 接口 角色 ( 根 接 口 及 指定 接口 ), 同时 还 定义 了 五 种 接口 状态 , 见 表 10-3。 
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表 10-3 STP 接口 状态 
和 
禁用 (Disable) 该 接口 不 能 收发 BPDU， 也 不 能 收发 业务 数据 帧 ， 例 如 接口 为 down 
该 接口 被 STP 阻塞。 处 于 阻塞 状态 的 接口 不 能 发 送 BPDU， 但 是 会 持续 侦 听 
BPDU， 而 且 不 能 收发 业务 数据 帧 ， 也 不 会 进行 MAC 地 址 学 习 
当 接 口 处 于 该 状态 时 ， 表 明 STP 初步 认定 该 接口 为 根 接口 或 指定 接口 ， 但 接 
侦 听 (Listening) 口 依然 处 于 STP 计算 的 过 程 中 ， 此 时 接口 可 以 收发 BPDU， 但 是 不 能 收发 业 
务 数据 帧 ， 也 不 会 进行 MAC 地 址 学 习 
当 接口 处 于 该 状态 时 ， 会 侦 听 业务 数据 帧 〈 但 是 不 能 转发 业务 数据 帧 )， 并 且 
在 收 到 业务 数据 帧 后 进行 MAC 地 址 学 习 
处 于 该 状态 的 接口 可 以 正常 地 收发 业务 数据 帧 ， 也 会 进行 BPDU 处 理 。 接 口 
的 角色 需 是 根 接口 或 指定 接口 才能 进入 转发 状态 

当 交 换 机 的 一 个 接口 被 激活 后 ， 该 接口 将 从 禁用 状态 自动 进入 阻塞 状态 。 处 于 阻塞 
状态 的 接口 如 果 被 交换 机 选举 为 根 接口 或 者 指定 接口 ， 那 么 它 将 从 阻塞 状态 进入 侦 听 状 
态 ， 并 且 在 侦 听 状态 停留 15s (转发 延迟 时 间 )。 有 些 读者 可 能 会 感到 很 好 奇 ， 为 什么 接口 
不 允许 从 阻塞 状态 直接 进入 转发 状态 , 而 要 先进 入 侦 听 状态 呢 ?” 设 想 一 下 , 在 STP 的 收敛 
过 程 中 ，BPDU 泛 洪 到 全 网 是 需要 一 定时 间 的 ，STP 完成 全 网 拓扑 计算 同样 需要 时 间 ， 因 
此 接口 在 侦 听 状态 停留 的 这 15s 将 给 予 STP 充分 的 时 间 进 行 全 网 拓扑 计算 , 避免 网 络 中 出 
现 临 时 的 环 路 。 在 侦 听 状态 停留 15s 后 ， 如 果 该 接口 依然 是 根 接口 或 指定 接口 ， 那 么 它 将 
进入 学 习 状 态 ， 并 且 在 该 状态 下 也 停留 15s (转发 延迟 时 间 )。 由 于 此 时 交换 机 在 接口 上 并 
未 学 习 到 任何 MAC 地 址 ， 因 此 如 果 接 口 从 侦 听 状态 立即 进入 转发 状态 的 话 ， 就 有 可 能 在 
短 时 间 内 导致 网 络 中 出 现 不 必要 的 数据 帧 泛 洪 现象 。 所 以 ，STP 规定 接口 从 侦 听 状态 进入 
学 习 状 态 后 ， 也 需 停留 1$s， 在 这 段 时 间 内 交换 机 会 在 该 接口 持续 侦 听 业务 数据 帧 并 学 
习 MAC 地 址 ， 为 进入 转发 状态 做 好 准备 。 图 10-17 描述 了 STP 接口 状态 的 切换 过 程 。 


阻塞 (Blocking) 


学 习 (Learning) 


转发 (Forwarding ) 





@ 接口 初始 化 或 激活 。 @ 束 具 咎 摘 为 根 可 中 © 从 Ri 


@ 接口 不 再 是 根 接口 @ 接口 被 禁用 或 失效 


或 指定 接口 
图 10-17 接口 状态 切换 过 程 


10.1.8 案例: STP 的 基础 配置 
在 图 10-18 中 , 三 人 台 交 换 机 构成 了 一 个 简单 的 交换 网 络 ， 而 且 网 络 中 存在 二 层 环 路 。 
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为 了 实现 该 交换 网 络 的 破 环 ， 网 络 中 的 交换 机 将 部 闭 STP。 


> 
SWI1 ha 
~ 





SW3 
图 10-18 STP 基础 配置 


SW1 的 配置 如 下 : 

[SW1]stp mode stp 

[SW1]stp enable 

SW2 的 配置 如 下 : 

[SW2]stp mode stp 

[SW2]stp enable 

SW3 的 配置 如 下 : 

[SW3]Jstp mode stp 

[SW3]stp enable 

在 以 上 配置 中 ，stp mode 命令 用 于 修改 交换 机 的 工作 模式 (或 者 说 ， 协 议 类 型 )， 
以 华为 S5700 系列 交换 机 为 例 ， 缺 省 时 设备 的 生成 树 工 作 模式 为 MSTP，stp mode stp 
命令 用 于 将 工作 模式 修改 为 STP。 另 外 ，stp enable 命令 用 于 在 设备 上 激活 生成 树 ( 缺 
省 时 ， 生 成 树 已 经 处 于 激活 状态 ， 因 此 该 命令 为 可 选 )。 

在 网 络 初始 化 过 程 中 ，STP 会 选举 根 桥 、 根 接口 及 指定 接口 。 三 台 交 换 机 中 ， 桥 ID 
最 小 的 交换 机 将 成 为 根 桥 。 当 然 ， 所 有 的 交换 机 缺 省 的 桥 优 先 级 均 为 32768， 这 样 一 来 
拥有 最 小 MAC 地 址 的 交换 机 将 成 为 网 络 中 的 根 桥 ， 这 显然 带 有 一 定 的 随机 性 ， 在 实际 
的 网 络 部 团 中 ， 我 们 往往 会 通过 修改 某 人 台 设 备 ( 通 常情 况 下 是 网 络 中 处 于 关键 位 置 且 性 
能 较 高 的 设备 ) 的 优先 级 ， 确 保 它 成 为 该 网 络 的 根 桥 ， 从 而 保证 STP 的 稳定 性 。 例 如 在 
这 个 例子 中 ， 可 以 将 SW1 规划 为 网 络 中 的 主根 桥 (Primary Root Bridge)， 将 SW2 规划 
为 它 的 备份 ， 也 就 是 次 根 桥 (Secondary Root Bridge )。 

SW1 增加 如 下 配置 : 

[SW1]stp root primary 

SW2 增加 如 下 配置 : 

[SW2]stp root secondary 

在 SW1 上 执行 的 stp root primary 命令 将 使 得 它 成 为 网 络 中 的 主根 桥 ， 实 际 上 该 命 
令 是 把 当前 交换 机 的 优先 级 值 设置 为 最 小 值 0， 而 且 该 优先 级 不 能 修改 。 因 此 在 本 例 中 ， 
SW1 使 用 替代 命令 stp priority 0 也 能 实现 相同 的 效果 。 男 外 在 SW2 上 执行 的 stp root 
secondary 命令 用 于 将 设备 指定 为 网 络 中 的 次 根 桥 ， 实 际 上 该 命令 是 把 当前 交换 机 的 优 
先 级 值 设置 为 4096, 而 且 该 优先 级 不 能 修改 。 因 此 在 SW2 使 用 替代 命令 stp priority 4096 
也 能 实现 相同 的 效果 。 在 设备 的 系统 视图 下 使 用 stp priority 命令 可 修改 该 设备 的 STP 
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优先 级 , 需 注 意 的 是 ,使 用 该 命令 所 指定 的 优先 级 的 取 值 范围 是 0 一 61440, 而 且 需 是 4096 
的 倍数 ， 例 如 0、4096、8192 等 。 


完成 以 上 配置 后 ， 可 以 在 设备 上 使 用 display stp 命令 查看 STP 的 状态 ， 在 SW1 上 


<SW1>display stp 


执行 该 命令 ， 可 以 看 到 如 下 输出 : 


一 -一 一 [CIST Global Info][Mode STP]-———— 


CIST Bridge :0 .4c1fcccl1-3333 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :0 ，.4clf-ccc1-3333 /10 

CIST RegRootIRPC :0 ，,.4clf-ccc1-3333 /0 

CIST RootPortId :0.0 

BPDU-Protection :Disabled 

CIST Root Type :Primary root 

TC or TCN received :6 

TC count per hello :0 

STP Converge Mode :Normal 

Time since last TC :0 days Oh:l1m:33gs 

Number of TC 

Last TC bccurred :GigabitEthernet0/0/22 


Sn 


先 级 人 ,这 显然 是 命令 stp root primary 的 作用 。4clf-ccc1-3333 是 本 设备 的 MAC 地 址 。 
而 且 当 前 的 根 桥 的 MAC 也 是 4clfccc1-3333， 这 就 表明 ， 本 交换 机 就 是 根 桥 。 
为 外 ， 使 用 display stp brief 命令 能 查看 接口 的 STP 状态 ， 在 SW1 上 执行 该 命令 可 


看 到 如 下 输出 : 
<SW1>display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/22 cc DESI FORWARDING NONE 
0 GigabitEthernet0/0/24 DESI FORWARDING NONE 


由 于 SW1 是 根 桥 ， 因 此 它 的 所 有 接口 均 是 指定 接口 ， 通 常情 况 下 ， 根 桥 的 所 有 接 
口 都 将 处 于 转发 状态 。 
您 可 能 已 经 猜 到 了 哪 台 交换 机 的 接口 会 被 阻塞 。 在 本 网 络 中 SW3 的 GE0/0/23 接口 


将 会 被 阻塞。 
<SW3>display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/22 ROOT FORWARDING NONE 
0 GigabitEthernet0/0/23 ALTE DISCARDING NONE 


Wi 





TY 细心 的 读者 可 能 会 发 现 ， 在 以 上 输出 中 ，SW3 的 GE0/0/23 的 接口 状态 为 
Discarding ( 技 齐 )， 而 不 是 Blocking (阻塞 )， 其 实 STP 是 一 个 相对 古老 的 协议 ， 在 现 
今 的 网 络 中 已 经 用 得 不 多 了 ， 被 使 用 得 更 多 的 是 RSTP 和 MSTP。 以 华为 交换 机 S5700 
为 例 ， 缺 省 时 即 已 激活 了 MSTP， 当 用 户 使 用 命令 将 生成 树 的 模式 修改 为 STP 时， 设备 
的 接口 状态 依然 保持 与 MSTP 一 致 ， 而 在 MSTP 中 ，Discarding 状态 也 意味 着 接口 被 阻 
塞 。 因 此 ， 大 家 姑且 将 此 处 的 Discarding 理解 为 阻塞 即 可 。 此 外 ， 以 上 输出 中 的 接口 角 
名 (Role) 也 是 MSTP 中 的 概念 。 
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为 什么 网 络 中 被 STP 阻 塞 的 接口 是 SW3 的 GE0/0/23 接 口 ? 道理 非常 简单 :首先 SW3 
的 GE0/0/22 接口 是 其 根 接 口 ， 它 在 该 接口 上 收 到 的 BPDU 是 最 优 的 ， 此 后 它 会 根据 该 
最 优 BPDU， 为 GE0/0/23 接口 计算 BPDU， 并 且 将 其 与 该 接口 收 到 的 BPDU 进行 比较 ， 
由 于 SW3 的 GE0/0/23 接口 所 收 到 的 BPDU 比 它 为 该 接口 计算 出 的 BPDU 更 优 , 因此 该 
接口 被 阻塞 。 如 果 我 们 此 时 希望 SW3 被 阻塞 的 不 是 GE0/0/23， 而 是 GE0/0/22 接口 ， 那 
么 可 以 设法 让 GE0/0/23 成 为 SW3 的 根 接口 ， 例 如 将 GE0/0/22 接口 的 Cost 调 大 ， 使 得 
SW3 从 该 接口 到 达 根 桥 的 RPC 比 另 一 条 路 径 更 大 。 


SW3 增加 如 下 配置 : 
[SW3]interface GigabitEthernet 0/0/22 
[SW3-GigabitEthernet0/0/22]stp cost 50000 4 


完成 上 述 配 置 后 ， 再 观察 一 下 SW3 的 接口 状态 : 


<SW3>display stp brief 
MSTID Port = Role STP State Protection 
0 GigabitEthernet0/0/22 ALTE DISCARDING NONE 
0 GigabitEthernet0/0/23 ROOT FORWARDING NONE 
10.2 RSTP 


IEEE 802.1D 中 定义 的 STP， 是 一 个 比较 老 旧 的 标准 ， 在 现今 的 交换 网 络 中 ， 几 乎 
已 经 很 少 能 够 见 到 它 的 部 署 了 。STP 存在 诸多 短 板 ， 例 如 收敛 慢 、 背 口 状 态 定 义 楷 元 、 
对 拓扑 变化 的 感知 依赖 计时 器 等 。 

IEEE 802.1w 中 定义 的 RSTP (Rapid Spanning Tree Protocol， 快 速生 成 树 协议 ) 可 以 
视 为 STP 的 改进 版 本 ，RSTP 在 许多 方面 对 STP 进行 了 优化 ， 它 的 收敛 速度 更 快 ， 而 且 
能 够 兼容 STP。 

RSTP 引入 了 新 的 接口 角色 ， 其 中 蔡 代 接口 的 引入 使 得 交换 机 在 根 接 口 失 效 时 ， 能 
够 立即 获得 新 的 路 径 到 达 根 桥 。RSTP 引入 了 P/A 机 制 ， 使 得 指定 接口 被 选举 产生 后 能 
够 快速 地 进入 转发 状态 ， 而 不 用 像 STP 那样 经 历 转发 延迟 时 间 。 另 外 ，RSTP 还 引入 了 
边缘 接口 的 概念 ， 这 使 得 交换 机 连接 终端 设备 的 接口 在 初始 化 之 后 能 够 立即 进入 转发 状 
态 ， 提 高 了 工作 效率 。 

学 习 完 本 节 之 后 ， 我 们 应 该 能 

e。 熟悉 RSTP 接口 的 角色 ; 

e。 就 悉 RSTP 接口 的 状态 ; 

。 熟悉 BPDU 在 RSTP 中 的 变化 ; 

。 理解 P/A 机 制 |; 

。 理解 边缘 接口 的 概念 及 意义 ; 

e。 理解 各 种 保护 功能 。 


10.2.1 RSTP 接口 角色 


RSTP 在 STP 的 基础 上 ， 增 加 了 两 种 接口 角色 ， 它 们 是 奉 代 (Alternate) 接口 和 备 
份 (Backup) 接口 。 因 此 ， 在 RSTP 中 ， 共 有 4 种 接口 角色 : 根 接口 、 指 定 接口 、 符 代 
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接口 和 备份 接口 。 其 中 替代 接口 及 备份 接口 的 定义 如 下 。 

1. 替代 接口 

替代 接口 可 以 简单 地 理解 为 根 接口 的 备 优先 级 0 优先 级 4096 
份 ， 它 是 一 台 设 备 上 ， 由 于 收 到 了 其 他 设备 swl 
所 发 送 的 BPDU 从 而 被 阻塞 的 接口 。 如 果 设 
备 的 根 氢 口 发 生 故 障 ， 那 么 替代 接口 可 以 成 
为 新 的 根 接口 ， 这 加 快 了 网 络 的 收敛 过 程 。 
在 图 10-19 中 ，SW1 是 网 络 中 的 根 桥 ， 对 于 
SW3 而 言 ， 它 有 两 个 接口 接 入 了 该 网 络 ， 由 





于 从 GE0/0/22 接口 到 达 根 桥 的 RPC 更 小 , 因 SW3 
此 该 接口 成 为 该 设备 的 根 接口 。 而 GE0/0/23 人 
则 由 于 收 到 了 SW2 所 发 送 的 BPDU， 并 且 经 图 10-19 区 代 缕 品 


SW3 计算 后 决定 阻塞 ， 成 为 该 设备 的 替代 接口 。 
此 时 在 SW3 上 执行 display stp brief 命令 能 看 到 如 下 输出 : 


<SW3>display stp brief - 
MSTID Port Role STP State Protection 
0 GigabitEthermet0/0/22 ROOT FORWARDING NONE 
0 GigabitEthernet0/0/23 ALTE DISCARDING NONE 


在 以 上 输出 中 ，ALTE 意 为 Alternate， 也 即 替代 。 





9 一 台 设备 如 果 是 非 根 桥 ， 那 么 它 有 且 只 能 有 一 个 根 接口 ， 但 是 该 设备 可 以 没有 和 替 
代 接 口 ， 也 可 以 有 ， 当 存在 替代 接口 时 ， 可 以 存在 一 个 或 多 个 。 当 设备 的 根 接口 发 生 故 
障 时 ， 最 优 的 替代 接口 将 成 为 新 的 根 接口 。 


2.， 备份 接口 

备份 接口 是 一 台 设 备 上 由 于 收 到 了 目 己 所 发 送 的 BPDU 从 而 被 阻塞 的 接口 。 如 果 一 
台 交 换 机 拥有 多 个 接口 接 入 同一 个 网 段 ， 并 且 在 这 些 接口 中 有 一 个 被 选举 为 该 网 段 的 指 
定 接口 ， 那 么 这 些 接口 中 的 其 他 接口 将 被 选举 为 备份 接口 ， 备 份 接 口 将 作为 该 网 段 到 达 
根 桥 的 元 余 接口 。 通 和 情况 下 ， 备 份 接口 处 于 丢弃 状态 。 

在 图 10-20 中 ，SW1 是 网 络 中 的 根 桥 ， 对 于 SW2 而 言 ， 它 的 GE0/0/20 及 GE0/0/21 
接口 形成 了 目 环 ，RSTP 能 够 检测 到 这 个 环 路 ， 并 且 在 这 两 个 接口 中 选择 一 个 进行 阻塞 。 
缺 省 时 ， 由 于 GE0/0/20 接口 的 接口 ID 更 小 ， 因 此 该 接口 成 为 指定 接口 ， 而 GE0/0/21 接 
口 则 成 为 备份 接口 ， 备 份 接口 将 被 阻塞 。 

此 时 在 SW2 上 执行 display stp brief 命令 应 该 能 看 到 如 下 输出 : 


<SW2>display stp brief 过 建 
MSTID Port Role STP State Protection 
0 GigabitEthernef0/0/24 ROOT FORWARDING NONE 
0 GigabitEthemet0/0/20 ~ DESI FORWARDING NONE 
0 GigabitEthernet0/0/21 BACK DISCARDING NONE 


图 10-20 的 场景 似乎 没有 什么 实际 意义 ， 毕 竞 通过 一 条 链 路 进行 目 环 看 起 来 确实 没 
有 什么 必要 ， 这 可 能 是 由 于 人 为 的 牙 忽 误 接 线 缆 造 成 的 。 图 10-21 展示 了 男 一 个 存在 备 
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份 接口 的 场景 ，SW2 使 用 两 个 接口 连接 在 同一 台 集 线 嚣 (Hub) 上 ， 由 于 集 线 需 在 一 个 
接口 上 收 到 的 数据 会 被 拷贝 到 其 他 所 有 接口 〈 而 且 它 并 不 支持 STP/RSTP)， 因 此 SW2 
从 GE0/0/20 接口 发 出 的 BPDU 会 被 集线器 接收 并 发 往 SW2 的 GE0/0/21 接口 ,反之 亦 然 。 





SWI 根 桥 
根 接口 
GEO0/0/24 了 
SW2 
GEO0/0/20 GEO/0/21 指定 接口 
指定 接口 ~ 备份 接口 .En 
图 10-20 ”备份 接口 图 10-21 SW2 的 两 个 接口 连接 在 同一 台 集 线 堪 上 


当 SW2 的 指定 接口 GE0/0/20 发 生 故 障 时 ， 备 份 接口 GE0/0/21 将 继续 它 的 工作 ， 负 
页 与 相应 的 网 段 实 现 数据 交互 。 


10.2.2 RSTP 接口 状态 


STP 定义 了 五 种 接口 状态 ， 它 们 分 别 是 禁用 、 了 阻塞、 侦 听 、 学 习 和 转发 ， 而 RSTP 
简化 了 接口 状态 ， 将 STP 的 禁用 、 阻 塞 及 侦 听 状态 简化 为 丢弃 (Discarding) 状态 ， 于 
是 ，RSTP 与 STP 的 接口 状态 对 比如 表 10-4 所 示 。 





10-4 STP FT RSTP 的 接口 状态 对 应 关系 
“STP 的 接口 状态 ， a 
禁用 〈Disabled ) 
阻塞 〈Blocking ) 丢弃 (Discarding) 
侦 昕 (Listening) 
学 习 (Learning) 学 习 (Learning) 
转发 Forwarding) 转发 (Forwarding ) 


在 RSTP 中 ， 处 于 丢弃 状态 的 接口 既 不 会 转发 业务 数据 帧 ， 也 不 会 学 习 MAC 地 址 。 


_ .10.2.3，BPDU 


RSTP 的 配置 BPDU 被 称 为 RST BPDU (Rapid Spanning Tree BPDU)， 它 的 格式 与 
STP 的 配置 BPDU 大 体 相 同 ， 只 是 其 中 个 别 字 段 做 了 修改 ， 以 便 适 应 新 的 工作 机 制 和 特 
性 。 对 于 RST BPDU 来 说 , “协议 版 本 ID” 字 段 的 值 为 0x02,“BPDU 类 型 ”字段 的 值 
也 为 0x02。 最 重要 的 变化 体现 在 “标志 ”字段 中 ， 该 字段 一 共 8bit，STP 只 使 用 了 其 中 
的 最 低 比 特 位 和 最 高 比特 位 ， 而 RSTP 在 STP 的 基础 上 ， 使 用 了 剩余 的 6 个 比特 位 ， 并 

上 且 分 别 对 这 些 比 特 位 进行 了 定义 ， 如 图 10-22 所 示 。 
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图 10-22 RST BPDU 中 的 “标志 ”字段 


STP 只 使 用 了 该 字段 的 最 高 及 最 低 比 特 位 , 在 RST BPDU 中 这 两 个 比特 位 的 定义 及 
作用 不 变 。 另 外 , Aggrement (同意 ) 及 Proposal( 提 议 ) 比 特 位 用 于 RSTP 的 P/A (Proposal/ 
Aggrement) 机 制 ， 该 机 制 大 大 地 提升 了 RSTP 的 收敛 速度 。Port Role 〈 接 口角 色 ) 比特 
位 的 长 度 为 2bit， 它 用 于 标识 该 RST BPDU 发 送 接口 的 接口 角色 ，01 表示 根 接口 ，10 
表示 替代 接口 ，11 表示 指定 接口 ， 而 00 则 被 保留 使 用 (以 上 的 值 都 是 二 进 制 格式 )。 最 
后 ，Forwarding (转发) 及 Learning《〈 学 习 ) 比特 位 用 于 表示 该 RST BPDU 发 送 接口 的 
接口 状态 。 

RSTP 与 STP 不 同 ， 在 网 络 稳定 后 ， 无 论 是 根 桥 还 是 非 根 桥 ， 都 将 周期 性 地 发 送 配 
置 BPDU， 也 就 是 说 对 于 非 根 桥 而 言 ， 它 们 不 用 在 根 接口 上 收 到 BPDU 之 后 ， 才 被 触发 
而 产生 自己 的 配置 BPDU， 而 是 自发 地 、 周 期 性 发 送 BPDU。 在 后 续 的 内 容 中 ， 除 非特 
别 强 调 ，BPDU 指 的 是 RST BPDU。 

RSTP 在 BPDU 的 处 理 上 的 男 一 点 改进 是 对 于 次 优 (Inferior〉 BPDU 的 处 理 。 运 行 
STP 的 交换 机 在 每 个 接口 上 保存 一 份 BPDU， 对 于 根 接口 及 非 指定 接口 而 言 ， 交 换 机 保 
存 的 是 发 送 自 上 游 交 换 机 的 BPDU， 而 对 于 指定 接口 而 言 ， 交 换 机 保存 的 是 自己 根据 根 
接口 的 BPDU 所 计算 出 的 BPDU。 如 果 接 口 收 到 一 份 BPDU， 而 且 该 接口 当前 所 保存 的 
BPDU 比 接收 的 BPDU 更 优 ， 那 么 后 者 对 于 前 者 而 言 ， 就 是 次 优 BPDU， 在 STP 中 ， 当 
指定 接口 收 到 次 优 BPDU 时 ， 它 将 立即 发 送 自己 的 BPDU， 而 对 于 非 指定 接口 ， 当 其 收 
到 次 优 BPDU 时 ， 它 将 等 待 接口 所 保存 的 BPDU 老化 之 后 ， 再 重新 计算 新 的 BPDU， 并 
将 新 的 BPDU 发 送出 去 ,这 将 导致 非 指 定 接口 需要 最 长 约 20s 的 时 间 才 能 启动 状态 迁移 。 
在 RSTP 中 ,无 论 接 口 的 角色 如 何 , 只 要 接口 收 到 次 优 BPDU, 便 立 即 发 送 目 己 的 BPDU， 
这 个 变化 使 得 RSTP 的 收敛 更 快 。 


10.2.4 ”边缘 接口 


我 们 已 经 知道 ， 运 行 了 STP 的 交换 机 ， 其 接口 在 初始 启动 之 后 ， 首 先 会 进入 阻塞 状 
态 ， 如 果 该 接口 被 选举 为 根 接口 或 指定 接口 ， 那 么 它 还 需 经 历 侦 听 及 学 习 状 态 ， 最 终 才 
能 进入 转发 状态 ， 也 就 是 说 ， 一 个 接口 从 初始 启动 之 后 到 进入 转发 状态 至 少 需要 耗费 约 
30 秒 的 时 间 。 对 于 交换 机 上 连接 到 交换 网 络 的 接口 而 言 ， 经历 上 述 过 程 是 必要 的 ， 毕 竟 
该 接口 存在 产生 环 路 的 风险 ， 然 而 有 些 接口 引发 环 路 的 风险 是 非常 低 的 ， 例 如 交换 机 连 
接 终端 设备 (PC 或 服务 器 等 ) 的 接口 ， 这 些 接口 如 果 启 动 之 后 依然 要 经 历 上 述 过 程 那 就 
太 低 效 了 ,而 且 用 户 当然 希望 将 一 台 PC 接 入 交换 机 后 PC 能 够 立即 连接 到 网 络 , 而 不 用 
耗费 时 间 去 等 待 。 

可 以 将 交换 机 的 接口 配置 为 边缘 接口 (Edge Port) 来 解决 上 述 问 题 。 如 图 10-23 所 
示 ， 交 换 机 SW2 的 GE0/0/1、GE0/0/2 及 GE0/0/3 均 可 被 配置 为 边缘 接口 。 边 缘 接 口 缺 
省 不 参与 生成 树 计 算 ， 当 边缘 接口 被 激活 之 后 ， 它 可 以 立即 切换 到 转发 状态 并 开始 收发 
业务 流量 ， 而 不 用 经 历 转发 延迟 时 间 ， 因 此 工作 效率 大 大 提升 了 。 另 外 ， 边 缘 接 口 的 关 
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闭 或 激活 并 不 会 触发 RSTP 拓扑 变更 。 
在 实际 项 目 中 ， 我 们 通常 会 把 用 于 连接 终端 设备 的 接口 配置 为 边缘 接口 。 
以 SW2 为 例 ， 将 其 GEO/O/1 接 站 本 天 ， 全 全 栋 口 2 


[SW2]interface GigabitEthemet 0/0/1 
[SW2-GigabitEthernet0/0/1]stp edged-port enable 


值得 注意 的 是 ， 由 于 人 为 疏忽 ， 边 缘 接 口 也 
可 能 会 被 误 接 交换 设备 ， 一 旦 交换 设备 连接 到 边 

缘 接 口 ， 那 么 便 引 入 了 环 路 隐患 。 因 此 如 果 边 缘 
接口 连接 了 交换 设备 并 且 收 到 了 BPDU， 则 该 接 
口 立 即 变 成 一 个 普通 的 生成 树 接口 ， 在 这 个 过 程 
中 , 可 能 引发 网 络 中 的 RSTP 重 计 算 ， 从 而 对 网 络 
造成 影响 。 此 时 可 在 该 接口 上 部 署 BPDU 保护 功 
能 ， 本 书 将 在 “保护 功能 ”一 节 中 介绍 该 功能 。 

一 个 接口 被 配置 为 边缘 接口 后 ， 该 接口 依然 " 
会 周期 性 地 发 送 BPDU， 然 而 正如 上 文 所 述 ， 边 。 图 10-23 SW2 的 GE0/0/1、GE0/0/2 
缘 接 口 通常 用 于 连接 终端 设备 ，BPDU 对 于 这 些 。 和 GE0/0/3 接口 用 于 连接 终端 设备 ， 
设备 而 言 其 实 是 多 余 的 ， 此 时 可 以 在 接口 的 配置 可 卫 秆 为 边 洗 黎 昌 
视图 下 增加 stp bpdu-filter enable 命令 ， 这 条 命令 用 于 激活 该 接口 的 BPDU 过 小 功能 ， 
在 交换 机 的 接口 上 激活 BPDU 过 滤 功 能 后 ,该 接口 将 不 再 发 送 BPDU ,而 当 其 收 到 BPDU 
时 ， 也 会 直接 忽略 。 


10.2.5 ”P/A 机 制 | 





如 图 10-24 所 示 ， 网 络 管理 员 在 SW1 与 SW2 之 间 新 增 了 一 条 链 路 ， 由 于 SW1 是 此 
时 网 络 中 桥 优 先 级 最 高 的 交换 机 ， 因 此 它 将 成 为 该 网 络 的 根 桥 ， 它 的 GE0/0/1 接口 将 成 
为 指定 接口 ， 而 SW2 的 GE0/0/2 接口 将 成 为 根 接口 。 如 果 网 络 中 运行 STP， 那 么 虽然 这 
两 个 接口 的 角色 分 别 是 指定 接口 及 根 接口 ， 但 是 它们 
必须 经 历 侦 听 和 学 习 状 态 之 后 才能 进入 转发 状态 ， 在 
这 段 时 间 内 ，PC2 显然 是 无 法 与 PC1 通信 的 。 而 如 果 
网 络 中 运行 的 是 RSTP， 那 么 这 个 过 程 可 能 仅仅 需要 
耗费 数秒 。 

RSTP 通过 Proposal/Agreement (提议 /同意 ) 机 制 
来 保证 一 个 指定 接口 得 以 从 丢弃 状态 快速 进入 和 转 
发 状态 ， 从 而 加 速 了 生成 树 的 收敛 。 Proposal/ 
Agreement 机 制 也 被 简称 为 P/A 机 制 ， 它 是 交换 机 之 
间 的 一 种 握手 机 制 |。 
村 优先 级 s192 如 果 网 络 中 运行 的 是 RSTP， 当 SW1 与 SW2 之 
Ee ge 间 新 增 了 一 条 链 路 后 。 
图 10.24 ”网络 管 理 员 在 SW1 及 SW2 (1) SW1 及 SW2 立即 在 各 目的 接口 上 发 送 BPDU， 

之 间 增 加 了 一 条 新 的 链 路 初始 时 双方 都 认为 日 己 是 根 桥 ， 如 图 10-25 (一 ) 所 示 。 
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(2) 经 过 BPDU 交互 后 ，SW2 将 认为 SW1 才 是 当前 的 根 桥 ， 此 时 SW1 的 GE0/0/1 
接口 是 指定 接口 , 而 SW2 的 GE0/0/2 接口 则 成 为 根 接口 , 该 接口 将 立即 停止 发 送 BPDU。 
这 两 个 接口 当前 都 处 于 丢弃 状态 。 

(3 ) 接 下 来 P/A 过 程 将 在 SW1 与 SW2 之 间 发 生 。 由 于 SW1 的 GE0/0/1 接口 为 指定 
接口 且 处 于 丢弃 状态 , 因此 SW1 从 GE0/0/1 接口 发 送 Proposal 置 位 的 BPDU, 如 图 10-25 
(二 》 所 孙 。 

(4) SW2 收 到 Proposal 置 位 的 BPDU 后 ， 立 即 启动 一 个 同步 过 程 。 此 时 RSTP 的 机 . 
制 是 确保 指定 接口 (SW1 的 GE0/0/1) 能 够 快速 地 进入 转发 状态 ， 为 了 达到 这 个 目的 ， 
必须 确保 该 接口 进入 转发 状态 后 网 络 中 不 存在 环 路 , 因此 SW2 的 思路 是 : 先 将 本 地 的 所 
有 非 边缘 接口 全 部 阻塞 ， 然 后 答复 SW1 它 这 里 并 不 存在 环 路 ， 后 者 可 以 放心 大 胆 地 将 接 
口 切换 到 转发 状态 。 

己 经 处 于 丢弃 状态 的 接口 缺 省 即 已 完成 同步 ， 而 边缘 接口 则 不 参与 该 过 程 ， 除 此 之 
外 ， 交 换 机 处 于 转发 状态 的 指定 接口 需 切 换 到 丢弃 状态 以 便 完 成 同步 。 在 图 10-25 (二 ) 
中 , SW2 收 到 SW1 发 送 的 Proposal 置 位 的 BPDU 后 便 立 即 启动 同步 过 程 , 假设 GE0/0/3 
接口 被 配置 为 边缘 接口 ，GE0/0/4 接口 是 非 边 缘 指 定 接口 ， 那 么 GE0/0/3 接口 不 参与 该 
过 程 ， 而 GE0/0/4 接口 则 被 立即 切换 到 丢弃 状态 。 

(5) 现在 SW2 的 所 有 接口 均 已 完成 了 同步 ，SW2 清楚 地 知道 本 地 的 接口 不 存在 环 
路 ， 它 立即 将 根 接口 GE0/0/2 切换 到 转发 状态 ， 并 从 该 接口 癌 SW1 发 送 Agreement 置 位 
的 BPDU， 如 图 10-25 (三 ) 所 示 。 





四 
1 
AI。 Ar ee 





图 10-25 P/A 机 制 


(6) SW1 在 GE0/0/1 接口 上 收 到 Agreement 置 位 的 BPDU 后 ， 立 即将 该 接口 切换 到 
转发 状态 ， 此 时 PC2 与 PC1 便 可 以 实现 通信 了 。 

整个 P/A 过 程 以 非常 快 的 速度 完成 ， 在 新 增 链 路 出 现 后 的 极 短 时 间 内 ，PC2 即 可 与 
PC1 实现 通信 。 另 外 ， 由 于 SW2 的 指定 接口 GE0/0/4 此 时 依然 处 于 丢弃 状态 ， 因 此 该 接 
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口 也 将 向 下 游 交 换 机 发 起 一 个 P/A 过 程 ， 具 体操 作 不 再 闭 述 。 
从 以 上 摘 述 大 家 可 以 看 到 ，P/A 机 制 的 引入 使 得 RSTP 的 收敛 效率 大 大 地 提升 了 。 


10.2.6 ”保护 功能 


华为 交换 机 支持 多 种 保护 功能 ， 这 些 功 能 提升 了 生成 树 协议 的 稳定 性 。 

1. BPDU 保护 ( BPDU Protection ) 

当 边 缘 接 口 收 到 BPDU 后 ， 该 接口 将 立即 变 成 一 个 普通 的 RSTP 接口 ， 这 个 过 程 可 
能 引发 网 络 中 的 RSTP 重新 计算 ， 从 而 对 网 络 造成 影响 。 边 缘 接 口 通常 用 于 连接 终端 设 
备 ， 理 论 上 说 是 不 应 该 收 到 BPDU 的 ， 然 而 如 果 由 于 人 为 的 疏忽 导致 接口 误 接 了 交换 设 
备 ， 那 么 该 接口 便 有 可 能 收 到 BPDU， 这 种 朴 忽 同时 也 引入 了 二 层 环 路 的 隐患 。 另 外 ， 
如 果 攻 击 者 连接 到 了 边缘 接口 ， 并 针对 该 接口 发 起 BPDU 攻击 ， 也 将 对 网 络 造成 极 大 
影 啊 。 

通过 在 交换 机 上 激活 BPDU 保护 功能 即 可 解决 上 述 问题 。 当 交 换 机 激活 该 功能 后 ， 
如 果 边 缘 接口 收 到 BPDU， 则 交换 机 会 立即 把 接口 关闭 ( 置 为 Error-Down)， 同 时 触发 


告警 。 
以 图 10-26 为 例 ， 可 在 交换 机 SW2 上 采用 如 下 配置 ， 
[SW2jinterface GigabitEthernet 0/0/1 


[SW2-GigabitEthernet0/0/1]stp edged-port enable 


[SW2]interface GigabitEthernet 0/0/2 
[SW2-GigabitEthemet0/0/2]stp edged-port enable 


[SW2jinterface GigabitEthemet 0/0/3 
[SW2-GigabitEthernet0/0/3]stp edged-port enable 


[SW2]stp bpdu-protection 





图 10-26 ”为 边缘 接口 激活 BPDU 保护 功能 


在 交换 机 的 系统 视图 下 执行 stp bpdu-protection 命令 ， 可 以 在 所 有 边缘 接口 上 激活 
BPDU 保护 功能 。 完 成 上 述 配置 后 可 先 查 看 一 下 交换 机 的 RSTP 接口 状态 : 


<SW2>display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING BPDU 


0 GigabitEthernet0/0/2 DESI FORWARDING BPDU 
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0 GigabitEthernet0/0/3 DESI FORWARDING BPDU 
0 GigabitEthernet0/0/24 ROOT FORWARDING NONE 


由 于 GE0/0/1、GE0/0/2 及 GE0/0/3 都 被 配置 为 边缘 接口 ， 因 此 这 些 接口 都 将 激活 
BPDU 保护 功能 (Protection 列 显 示 BPDU 字样 )， 而 GE0/0/24 并 非 边缘 接口 ， 因 此 不 会 
激活 BPDU 保护 功能 。 

此 时 假设 SW2 的 GE0/0/1 接口 收 到 了 BPDU, 交换 机 将 立即 产生 如 下 告警 信息 ， 并 
将 GE0/0/1 接口 关闭 : 

Aug 25 2016 10:55:32-08:00 SW2 %%01MSTP/4/BPDU _ PROTECTIONU)[22j:This edged-port 

GigabitEthernet0/0/] that enabled BPDU-Protection will be shutdown, because it 


received BPDU packet! 
Aug 25 2016 10:55:33-08:00 SW2 %%O1PHY/1/PHY(D[23]: © GigabitEthernet0/0/1: change status to down 


如 果 受 保护 的 边缘 接口 由 于 收 到 了 BPDU 而 被 关闭 ， 缺 省 时 是 不 会 自动 恢复 的 ， 网 
络 管理 员 需 在 该 接口 的 配置 视图 下 先后 执行 shutdown 及 undo shutdown 命令 ， 或 者 直 
接 使 用 restart 命令 来 恢复 接口 。 除 了 使 用 上 述 命令 手工 恢复 接口 ， 还 可 以 让 接口 自动 恢 
复 。 在 系统 视图 下 执行 error-down auto-recovery cause bpdu-protection interval interval- 
value 命令 即 可 配置 接口 的 自动 恢复 功能 ， 执 行 上 述 命 令 后 ， 接 口 在 被 关闭 后 将 会 延迟 
interval 关键 字 所 指定 的 时 间 《〈 取 值 范围 是 30 一 86400s) 然后 自动 恢复 。 

2， 根 保护 (Root Protection ) 

对 于 一 个 部 垩 了 RSTP 的 交换 网 络 来 说 ， 根 桥 的 地 位 是 至 关 重 要 的 ， 毕 况 RSTP 所 
计算 出 的 无 环 拓 扑 与 根 桥 是 奶奶 相关 的 。 在 一 个 RSTP 已 经 完成 收敛 的 网 络 中 ， 如 果 根 
桥 发 生变 化 ， 那 么 势必 导致 RSTP 重新 计算 ， 此 时 该 网 络 所 承载 的 业务 流量 必 将 受到 影 
啊 。 一 般 来 说 ， 我 们 会 选择 网 络 中 性 能 最 优 的 设备 ， 同 时 也 是 位 置 最 关键 的 设备 作为 根 
桥 ， 将 其 优先 级 设置 为 最 小 值 0， 然 而 这 个 措施 未 必 能 绝对 保证 该 设备 永远 是 网 络 中 的 
根 桥 ， 毕 竟 根 桥 的 角色 是 可 抢占 的 。 在 图 10-27 中 ，SW1 的 优先 级 被 设置 为 0， 它 将 成 
为 生产 网 络 中 的 根 桥 ， 现 在 一 个 第 三 方 网 络 为 了 实现 与 生产 网 络 的 通信 ， 将 该 网 络 中 的 
SW4 连接 到 了 SW1。 由 于 对 接 之 前 SW4 的 优先 级 已 经 被 配置 为 0， 而 且 恰 巧 其 MAC 
地 址 较 之 SW1 更 小 ， 因 此 一 旦 SW4 与 SW1 完成 对 接 ， 前 者 将 抢占 SW1 的 地 位 成 为 网 
络 中 新 的 根 桥 ， 而 这 个 改变 将 会 导致 生产 网 络 的 RSTP 重新 计算 ， 从 而 对 生产 网 络 造 成 
影响 。 





图 10-27 根 保护 功能 
在 SW1 的 相关 接口 上 部 团 根 保护 功能 ， 即 可 规避 上 述 问 题 。 当 根 桥 的 指定 接口 激 
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活 根 保护 功能 后 ， 该 接口 如 果 收 到 更 优 的 BPDU， 则 会 忽略 这 些 BPDU， 并 将 接口 切换 
到 丢弃 状态 ， 如 此 一 来 ， 根 桥 的 地 位 就 得 以 保持 。 
SW1 可 做 如 下 配置 : 


- [SWil]interface GigabitEthernet 0/0/20 
[SW1-GigabitEthernet0/0/20]stp root- -protection 


完成 上 述 配 置 后 ， 可 首先 查看 一 下 SW1 的 接口 RSTP 状态 ， 


<SW1>display stp brief | 
MSTID C Port Role STP State Protection . 
0 GigabitEthernet0/0/20 DESI FORWARDING ROOT 


CE 


现在 当 SW4 发 送 的 BPDU 到 达 SWI1 的 GE0/0/20 接口 后 ，SW1 将 立即 把 接口 切换 


到 丢弃 状态 : 
<SW1>display stp brief 
MSTID C Port 由 Role STP State Protection 


0, GigabitEthernet0/0/20 DESI DISCARDING ROOT 


值得 注意 的 是 ， 根 保护 功能 只 有 在 指定 接口 上 激活 才 会 有 效 。 当 激活 了 根 保护 功能 
的 指定 接口 收 到 更 优 的 BPDU 时 , 它 将 忽略 这 些 BPDU, 并 立即 将 接口 切换 到 丢弃 状态 。 
如 果 接 口 不 再 收 到 更 优 的 BPDU， 则 一 段 时 间 后 (通常 为 两 倍 的 转发 延迟 时 间 )， 它 将 会 
目 动 恢复 到 转发 状态 。 

3. 环 路 保护 ( Loop Protection ) 

在 图 10-28 中 ，SW1 是 网 络 中 的 根 桥 ，SW3 的 GE0/0/22 是 根 接口 ，GE0/0/23 是 替 
代 接 口 并 处 于 丢弃 状态 。 以 SW3 的 GE0/0/23 接口 为 例 ， 该 接口 虽然 处 于 丢弃 状态 ， 但 
是 会 持续 侦 听 BPDU， 当 网 络 正常 时 ，SW3 会 在 该 接口 上 周期 性 地 收 到 BPDU。 假 设 
SW2 及 SW3 之 间 通 过 光纤 互联 ， 现 在 该 光纤 出 现 了 单 向 故障 ， 例 如 从 SW2 到 SW3 的 
通路 发 生 了 故障 ， 但 是 从 SW3 到 SW2 的 通路 则 是 正常 的 。 此 时 SW2 发 送 的 BPDU 将 
无 法 正 第 到 达 SW3 的 GE0/0/23 接口 ， 这 将 导致 SW3 认为 GE0/0/23 接口 的 上 游 设 备 发 
生 了 故障 ， 因 此 一 段 时 间 后 ， 该 接口 将 会 成 为 指定 接口 并 切换 到 转发 状态 ， 然 后 开始 发 
送 业 务 流量 。 值 得 注意 的 是 ， 此 时 SW2 并 未 发 生 故 障 ， 因 此 一 旦 SW3 的 GE0/0/23 接口 
切换 到 转发 状态 ， 网 络 中 便 出 现 了 环 路 。 


根 桥 


SWI1 






GE0/0/22 
根 接口 


图 10-28 ”初始 情况 下 ，SW3 的 GE0/0/23 接口 为 丢弃 状态 
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交换 机 的 根 接口 以 及 处 于 丢弃 状态 的 蔡 代 接口 都 可 能 出 现 上 述 问 题 。 在 网 络 正 常 
时 ,这些 接 口 将 持续 收 到 BPDU, 而 当 网 络 中 出 现 链 路 单 同 故障 或 者 网 络 拥 塞 等 问题 时 ， 
这 些 接 口 将 无 法 正常 地 接收 BPDU， 这 便 会 导致 交换 机 进行 RSTP 重 计 算 ， 此 时 接口 的 
角色 及 状态 便 会 发 生 改 变 ， 这 就 有 可 能 在 网 络 中 引入 环 路 。 使 用 环 路 保护 功能 可 以 规避 
上 述 问题 。 

Q 在 根 接口 上 激活 了 环 路 保护 功能 后 , 如 果 该 接口 长 时 间 没 有 收 到 BPDU, 那么 交 
换 机 将 会 重新 选举 根 接口 并 将 该 接口 的 角色 调整 为 指定 接口 ， 此 时 交换 机 会 将 该 接口 的 
状态 切换 到 丢弃 状态 ， 从 而 避免 环 路 的 发 生 。 

@) 在 奉 代 接口 上 激活 了 环 路 保护 功能 后 ， 如 果 该 接口 长 时 间 没 有 收 到 BPDU, 那么 
交换 机 会 将 该 接口 的 角色 调整 为 指定 接口 ， 但 是 将 其 状态 保持 在 丢弃 状态 ， 从 而 避免 环 
路 的 出 现 。 

(1) 配置 实现 1: 在 根 接口 上 激活 坏 路 保护 功能 

在 图 10-28 中 , 当 网 络 完成 收敛 后 ，SW3 的 GE0/0/22 接口 将 成 为 根 接口 并 处 于 转发 
状态 ， 而 GE0/0/23 接口 则 被 选举 为 奉 代 接口 并 处 于 丢弃 状态 。 

可 以 使 用 如 下 命令 在 SW3 的 GE0/0/22 接口 激活 环 路 保护 功能 : 

[SW3]interface GigabitEthernet 0/0/22 

[SW3-GigabitEthernet0/0/22]stp loop-protection 


完成 上 述 配 置 后 ， 在 SW3 上 执行 display stp brief 命令 可 看 到 如 下 输出 : 


<SW3>display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/22 ROOT FORWARDING BOOPY = 
0 GigabitEthernet0/0/23 ALTE DISCARDING NONE 


此 时 如 果 GE0/0/22 接口 长 时 间 没 有 收 到 BPDU, 交换 机 会 将 该 接口 调整 为 指定 接口 ， 
并 将 其 切换 到 丢弃 状态 (如 图 10-29 所 示 )， 直 到 该 接口 再 次 收 到 BPDU.。 








根 桥 
SWI SW2 
二 
单身 链 路 故障 ，SW1 发 一 Co Kv 
送 的 流量 无 法 到 达 SW3 二 你 


@ 
必 ， 
% 





人 @@ 指定 接口 (丢弃 状态 ) 一 ” 


SW3 
图 10-29 ”在 根 接口 GE0/0/22 上 部 署 环 路 保护 功能 


(2) 配置 实现 2: 在 蔡 代 接口 上 激活 坏 路 保护 功能 

在 图 10-28 中 ，SW3 的 GE0/0/23 接口 作为 蔡 代 接口 ， 也 可 以 激活 环 路 保护 功能 ， 配 
置 如 下 : 

[SW3]interface GigabitEthernet 0/0/23 

[SW3-GigabitEthernet0/0/231stp loop-protection 


在 SW3 上 执行 display stp brief 命令 可 看 到 如 下 输出 : 
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<SW3>display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthemet0/0/22 ROOT FORWARDING LOOP 
0 GigabitEthernet0/0/23 ALTE DISCARDING LOOP 


完成 上 述 配置 后 ， 如 果 SW3 的 GE0/0/23 接口 长 时 间 没 有 收 到 BPDU， 交 换 机 会 将 
该 接口 调整 为 指定 接口 ， 但 是 不 会 将 其 切换 到 转发 状态 ， 而 是 保持 在 丢弃 状态 ， 从 而 避 
饮 环 路 的 出 现 。 

4. 拓扑 变更 保护 (TC Protection ) 

一 个 稳定 的 交换 网 络 是 不 会 频繁 地 出 现 拓扑 变更 的 ， 一 旦 网 络 拓 扑 出 现 变更 ，TC 
BPDU〔 此 处 指 的 是 TC 比特 置 位 的 BPDU) 将 会 被 泛 洪 到 全 网 ， 而 这 些 TC BPDU 将 会 
触发 网 络 中 的 交换 机 执行 MAC 地 址 表 删 除 操作 。 设 想 一 下 ， 如 果 网 络 环 境 极端 不 稳定 
导致 TC BPDU 频繁 地 泛 洪 ， 又 或 者 网 络 中 存在 攻击 者 ， 而 攻击 者 发 送 大量 的 TC BPDU 
对 网 络 进行 攻击 ， 那 么 交换 机 的 性 能 将 受到 极 大 损耗 。 

交换 机 激活 拓扑 变更 保护 功能 后 ， 将 在 单位 时 间 内 只 进行 一 定 次 数 的 TC BPDU 处 
理 ， 如果 交换 机 在 该 时 间 内 收 到 超过 所 设 上 限 的 TC BPDU, 那么 它 只 会 按照 规定 的 次 数 
进行 处 理 ， 而 对 于 超出 的 部 分 ， 则 必须 等 待 一 段 时 间 后 才 进 行 处 理 。 

在 交换 机 的 系统 视图 下 执行 stp tc-protection 命令 即 可 激活 拓扑 变更 保护 功能 ， 该 
功能 激活 后 ， 交 换 机 在 单位 时 间 内 “人 缺 省 时 ， 该 时 间 等 于 Hello Time， 也 即 28， 可 通过 
stp tc-protection interval 命令 修改 ) 只 会 处 理 1 次 (该 次 数 可 通过 stp tc-protection 
threshold 命令 修改 ) TC BPDU， 如 果 在 该 时 间 内 ， 收 到 了 更 多 的 TC BPDU， 则 这 些 报 
文 只 能 等 前 面 提 及 的 时 间 超 时 后 才 会 被 处 理 。 


10.2.7 案例 1: RSTP 基础 配置 


在 图 10-30 中 ， 我 们 将 在 SW1、SW2、SW3 及 SW4 上 部 团 RSTP。 要 求 完成 配置 后 ， 
SW4 的 GE0/0/20 接口 被 阻塞 。 












主根 桥 次 根 桥 
一 3》 GEO/0/24 GEO/0/24 >—3 
SWI1 hm Bam™d SW2 
> ~ 
GEO/0/20 GE0/0/20 
GE0/0/20 SS GEO0/0/20 
GEO/0/24 GE0/0/24 | 
SW3 mt md 9 
< < SW4 


图 10-30 RSTP 的 基础 配置 
SW1 的 配置 如 下 : 


[SW1jstp mode rstp 
[SW1]stp root primary 
[SWljstp enable 

SW2 的 配置 如 下 : 
[SW2]stp mode rstp 
[SW21]stp root secondary 
[SW2]stp enable 
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SW3 的 配置 如 下 : 
[SW3jstp mode rstp 
[SW3]stp enable 

SW4 的 配置 如 下 : 
[SW4]stp mode rstp 
[SW4]stp enable 


完成 上 述 配置 后 ，SW4 的 GE0/0/24 接口 将 会 处 于 Discarding 状态 。 为 了 保证 RSTP 
阻 讲 的 是 SW4 的 GE0/020 接口 ， 而 不 是 GE0/0/24 接口 ， 可 在 SW4 上 完成 如 下 配置 : 


[SW4jinterface GigabitEthernet 0/0/20 
[SW4-GigabitEthernet0/0/20]stp cost 100000 


在 SW4 上 查看 STP 接口 状态 ， 可 看 到 如 下 输出 : 


[SW4]display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/20 ALTE DISCARDING NONE 
0 GigabitEthernet0/0/24 ROOT FORWARDING NONE 


在 SW4 上 使 用 display stp interface GigabitEthernet 0/0/20 命令 ， 可 以 查看 GE0/0/20 
接口 的 详细 信息 : 


<SW4>display stp interface GigabitEthernet 0/0/20 








[CIST Global Infol[Mode RSTP] 
CIST Bridge :32768.4clf-cc6b-Sea5 
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 


CIST Root/ERPC :0 4clf-ce7b-3cae / 40000 

CIST RegRoot/IRPC :32768.4clf-cc6b-5ea5 /0 

CIST RootPortId :128.24 

BPDU-Protection :Disabled 

TC or TCN received :42 

TC count per hello :0 

STP Converge Mode :Normal 一 
Time since lastTC :0days 0h:lm:10s 
Number of TC 呈 和 

Last TC occurred :GigabitEthernet0/0/24 

-——— [Port20(GigabitEthernet0/0/20)][DISCARDING] ---- 


Port Protocol :Enabled 

Port Role :Alternate Port 

Port Priority :128 
Port Cost(DotiT) ;Config=100000 /Active=100000 
Designated Bridge/Port :4096,.4clf-ccd1-148f/ 128.20 
Port Edged :Config=default / Active=disabled 
Point-to-point :Config=auto / Active=true 

Transit Limit :147 packets/hello-time 

Protection Type :None 

Port STP Mode :RSTP 

Port Protocol Type :Config=auto / Active=dotls 
BPDU Encapsulation :Config=stp / Active=stp 
PortTimes :Hello 2s MaxAge 20s FwDIy 15s RemHop 0 
TC or TCN send 沁 

TC or TCN received :9 

BPDU Sent :4 


TCN: 0, Config: 0, RST: 4, MST: 0 
BPDU Received :95 
TCN: 0, Config: 0, RST: 95, MST: 0 
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10.2.8 ”案例 2: RSTP 错误 地 阻塞 接口 导致 网 络 故 障 


图 10-31 中 展示 了 两 个 网 络 通 过 三 层 交 换 机 对 接 的 场景 ,A、B 网 络 需 实现 数据 互通 。 
A 网 络 通 过 A-SW1 及 A-SW2 两 台 三 层 交 换 机 与 B 网 络 的 B-SW1 及 B-SW2 对 接 , 客户 
要 求 这 四 台 交 换 机 按 图 示 建 立 OSPF 邻接 关系 。 在 本 案例 中 , 四 台 交 换 机 构成 了 一 个 “ 口 
字 型 ”的 物理 拓扑 ， 为 了 不 在 该 “ 口 字 型 ”网 络 中 引入 环 路 ， 网 络 工程 师 将 四 条 互联 链 
路 分 别 规 划 在 了 不 同 的 VLAN 内 。 四 人 台 交 换 机 分 别 在 互联 VLAN 的 VLANIF 中 配置 IP 
地 址 ， 每 段 互联 链 路 均 规 划 了 一 个 30 位 掩 码 长 度 的 他 子 网 。 如 此 一 来 ， 这 四 台 交 换 机 
就 构成 了 一 个 三 层 交 换 网 络 。 







GE0/0/20 | 4 4 | GE0/0/20 
VLAN1000 


GE0O/0/20 | 






OSPF 邻 接 关 系 


人 PP 
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在 对 接 过 程 中 ，A-SW2 与 B-SW2 之 间 的 OSPF 邻接 关系 无 法 建立 ， 经 定位 后 ， 网 
络 工程 师 发 现 这 两 台 交 换 机 无 法 通过 VLANIF1001 直接 通信 ， 进 一 步 排查 后 ， 他 发 现 
A-SW2 的 GE0/0/20 接口 被 RSTP 阻塞 , 进而 影响 到 OSPF 邻接 关系 建立 。 您 可 能 会 感到 
疑惑 ， 从 VLAN 的 角度 看 ， 这 里 并 不 存在 二 层 环 路 ， 但 是 为 什么 RSTP 会 将 拓扑 中 的 某 
个 接口 阻塞 呢 ? 

实际 上 ， 无 论 是 STP， 还 是 RSTP， 在 配置 BPDU 中 并 没有 任何 字段 承载 VLAN 信 
县 ， 而 且 RSTP 并 不 是 基于 VLAN 计算 生成 树 的 。 由 于 这 四 台 交 换 机 都 激活 了 RSTP， 
RSTP 仅 基于 物理 拓扑 进行 计算 ， 它 经 过 BPDU 的 交互 及 计算 后 “认为 ”网 络 中 存在 二 
层 环 路 ， 因 此 将 拓扑 中 的 某 个 接口 阻塞 (恰巧 A-SW2 的 GE0/0/20 接口 被 阻塞 )， 这 就 是 
问题 的 根 因 。 

解决 该 问题 的 方法 非常 简单 ， 由 于 工程 师 已 经 在 VLAN 的 规划 上 下 了 功夫 ,该 “ 口 
字 型 ”网 络 中 实际 并 不 存在 二 层 环 路 ， 因 此 RSTP 在 A、B 两 个 网 络 的 对 接 场 景 下 并 没 
有 存在 的 必要 , 故 可 以 在 四 台 交 换 机 的 GE0/0/20 接口 上 ,使 用 stp disable 命令 将 生成 树 


茶 用 。 
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10.3 MSITP 


大 家 都 知道 ，STP 是 一 个 相对 老 旧 的 标准 ，RSTP 虽然 在 STP 的 基础 上 进行 了 一 定 
程度 的 优化 ， 但 是 依然 与 STP 一 样 存在 一 个 较 大 的 短 板 ， 那 就 是 当 它 们 被 部 署 在 交换 网 
络 中 时 ， 所 有 的 VLAN 共用 一 棵 生成 树 。 这 个 短 板 将 使 得 网 络 中 的 流量 无 法 在 所 有 可 用 
链 路 上 实现 负载 分 担 ， 导 致 链 路 带宽 利用 率 、 设 备 资源 利用 率 较 低 。 

在 图 10-32 的 网 络 中 ， 如 果 SW1、SW2 及 SW3 都 运行 STP， 或 者 都 运行 RSTP， 那 
么 无 论 网 络 中 存在 多 少 个 VLAN， 这 些 VLAN 都 使 用 一 棵 相同 的 生成 树 ， 也 就 是 说 STP、 
RSTP 并 不 会 针对 不 同 的 VLAN 执行 单独 的 生成 树 计 算 ， 正 如 图 10-32 中 所 示 ，SWI1 被 
配置 为 全 网 的 主根 桥 ， 而 SW2 被 配置 为 次 根 桥 ， 那 么 SW3 的 GE0/0/23 接口 将 会 被 阻塞， 
如 此 一 来 ，SW3 所 连接 的 所 有 VLAN 中 的 设备 与 外 部 网 络 进行 通信 时 ， 业 务 流量 都 始 
终 只 走 SW1-SW3 这 一 侧 的 链 路 ， 而 SW2-SW3 这 一 侧 的 链 路 则 几乎 不 承载 业务 流量 ， 
SW2 也 束 相 当 于 闲置 在 此 ， 无 法 得 到 有 效 的 利用 ， 从 资源 利用 率 的 角度 考虑 ， 这 是 难以 
接受 的 。 


主根 桥 


SWI 





VLANIS 2 Ss cnn 2 
图 10-32” STP/RSTP 的 短 板 : 


现在 换 一 种 思路 , 如 果 存 在 这 样 一 种 生成 树 协议 , 它 基于 VLAN 进行 生成 树 的 计算 ， 
那么 这 种 技术 存在 什么 优 缺 点 呢 ? 首先 优点 自然 是 不 言 而 喻 的 ， 当 交换 机 运行 这 种 生成 
树 协 议 后 ， 它 会 针对 每 一 个 VLAN 单独 计算 一 棵 生成 树 ， 如 图 10-33 所 示 ， 网 络 管理 员 
可 以 针对 每 个 VLAN 的 生成 树 独立 配置 根 桥 ， 当 然 ， 也 可 以 通过 相应 的 配置 ， 使 得 不 同 
VLAN 的 生成 树 阻 塞 不 同 的 接口 ， 如 图 10-33 中 所 示 ， 对 于 VLANI1 而 言 ， 该 VLAN 的 
生成 树 阻塞 的 是 SW3 的 GE0/0/23 接口 ， 因 此 该 VLAN 内 的 PC 与 外 部 网 络 通信 的 流量 
可 以 通过 SW1-SW3 之 间 的 链 路 转发 ， 而 对 于 VLAN2 而 言 ， 该 VLAN 的 生成 树 阻塞 的 
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是 SW3 的 GE0/0/22 接口 ， 因 此 该 VLAN 内 的 PC 与 外 部 网 络 通信 的 流量 可 以 通过 另 一 
侧 链 路 进行 转发 一 一 业务 流量 实现 了 负载 分 担 。 其 他 VLAN 同 理 。 








二 业务 流量 被 生成 树 协 议 阻塞 
图 10-33 ”每 个 VLAN 独立 计算 一 棵 生成 树 


使 用 基于 VLAN 的 生成 树 协 议 ， 目 然 可 以 将 生成 树 的 可 操控 性 发 挥 到 极致 ， 然 而 这 
种 技术 也 是 存在 一 定 短 板 的 ， 设 想 一 下 ， 如 果 网 络 中 VLAN 的 数量 特别 大 ， 那 么 所 有 的 
交换 机 将 不 得 不 为 每 个 VLAN 都 计算 一 棵 生成 树 ， 那 么 设备 的 资源 消耗 将 变 得 非常 大 ， 
为 了 进行 大 规模 的 生成 树 计 算 ， 设 备 将 变 得 不 堪 重 负 ， 甚 至 有 可 能 影响 到 正常 业务 流量 
的 处 理 。 

IEEE 发 布 的 802.1s 标准 解决 了 上 述 问题 , 它 定 义 了 一 种 新 的 生成 树 协议 一 一 MSTP 
(Multiple Instances Spanning Tree Protocol， 多 实例 生成 树 协议 )，MSTP 能 够 兼容 STP 及 
RSTP, 在 该 协议 中 ， 生 成 树 不 是 基于 VLAN 运行 的 ， 而 是 基于 Instance〈 实 例 ) 运行 的 。 
所 谓 Instance， 也 即 一 个 或 多 个 VLAN 的 集合 。 

网 络 管理 员 可 以 将 一 个 或 多 个 VLAN 映射 到 一 个 Instance， 然 后 MSTP 基于 该 
Instance 计算 生成 树 。 基 于 Instance 的 生成 树 被 称 为 MSTI (Multiple Spanning Tree 
Instance， 多 生成 树 实 例 )，MSTP 为 每 个 Instance 维护 独立 的 MSTI。 映 射 到 同一 个 
Instance 的 VLAN 将 共享 同一 棵 生成 树 。 网 络 管理 员 可 根据 实际 需要 ， 在 交换 机 上 创建 
多 个 Instance, 然后 将 特定 的 VLAN 映射 到 相应 的 Instance。 需要 注意 的 是 , 一 个 Instance 
可 以 包含 多 个 VLAN， 但 是 一 个 VLAN 只 能 被 映射 到 一 个 Instance。 

MSTP Instance 使 用 Instance-ID 进行 标识 ， 在 华为 交换 机 上 ，Instance-ID 的 取 值 范 
围 是 0 一 4094, 其 中 Instance0 是 缺 省 便 已 经 存在 的 , 而 且 缺 省 时 , 交换 机 上 所 有 的 VLAN 
都 映射 到 了 Instance0。 

在 创建 了 Instance 之 后 ， 我 们 可 以 针对 MSTI 进行 主根 桥 、 次 根 桥 、 接 口 优先 级 或 
Cost 等 相关 配置 。 这 样 一 来 ， 如 果 网 络 中 存在 大 量 VLAN， 那 么 我 们 便 可 以 将 这 些 VLAN 
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按照 一 定 规律 分 别 映射 到 不 同 的 Instance 中 ， 从 而 通过 MSTP 实现 负载 分 担 ， 而 且 交 换 
机 仅 需 针对 这 几 个 Instance 进行 生成 树 计 算 ， 设备 资源 消耗 大 大 降低 。 

在 图 10-34 中 ， 网 络 中 的 交换 机 都 部 署 了 MSTP， 该 网 络 中 VLANI1 至 10 被 映射 到 
了 Instancel， 而 VLAN11 至 20 则 被 映射 到 了 Instance2。SVW1 被 配置 为 MSTIl (Instancel 
的 生成 树 实例 ) 的 主根 桥 ， 并 且 在 该 生成 树 中 SW3 的 GE0/0/23 接口 被 阻塞 ，SW2 被 配 
置 为 MSTI2 的 主根 桥 ， 并 且 在 该 生成 树 中 SW3 的 GE0/0/22 接口 被 阻塞 。 如 此 一 来 ， 网 
络 中 的 交换 机 只 需 维护 两 棵 生成 树 ， 而 且 这 两 组 VLAN 内 的 PC 与 外 部 网 络 通信 的 业务 
流量 又 实现 了 负载 分 担 。 此 外 ， 当 网 络 中 的 设备 或 链 路 发 生 故 障 时 ，MSTP 还 能 够 实现 
网 络 的 元 余 性 ， 例 如 当 SW1 与 SW3 之 间 的 互联 链 路 发 生 故 障 时 ，MSTP 会 将 SW3 的 
GE0/0/23 接口 在 MSTIl 上 切换 到 转发 状态 ， 如 此 一 来 VLAN1 至 10 内 的 PC 与 外 部 网 
络 通信 的 业务 流量 就 可 以 在 SW2 与 SW3 之 间 的 链 路 上 传输 。 





Instancel VLANI1、 2、 3、 ......、10 Instance2 VLAN11、 12、 13、....、20 


MSTII 阳 塞 MSTI2 阻 塞 
= 业务 流量 
10-34 部署 MSTP 后 ， 交 换 机 基于 Instance 计算 生成 树 ， 不 同 Instance 的 生成 树 之 间 相 互 独立 


MSTP 引入 了 域 (Region ) 的 概念 , 我 们 可 以 将 一 个 大 型 的 交换 网 络 划 分 成 多 个 MST 
域 (Multiple Spanning Tree Region， 多 生成 树 域 ;， 一 个 MST 域内 可 以 包含 一 台 或 多 台 
交换 机 ， 同 属 一 个 MST 域 的 交换 机 必须 配置 相同 的 域名 (Region Name)、 相 同 的 修订 
级 别 (Revision Level)， 以 及 相同 的 VLAN 与 Instance 的 映射 关系 。 当 然 ， 对 于 一 些小 
型 网 络 而 言 ， 全 网 的 交换 设备 属于 一 个 域 也 未 尝 不 可 。 


10.3.1 案例 1: MSTP 单 实例 


在 图 10-35 中 ， 三 台 交 换 机 构成 了 一 个 三 角形 的 二 层 环 路 ， 通 过 部 署 MSTP 可 实现 
网 络 的 无 环 化 。 由 于 网 络 的 规模 较 小 ， 因 此 我 们 计划 部 筑 单 个 MST 域 (域名 为 HCNP)， 
并 且 所 有 的 VLAN 均 保持 在 缺 省 的 Instance0 中 ,SW1 及 SW2 是 两 台 关 键 设备 ， 因 此 分 
别 将 其 规划 为 网 络 中 的 主根 桥 及 次 根 桥 。 
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GE0O/0/24 GE0O/0/24 


SWI1 SW?2 





VILANI: Be 3 non WH 
图 10-35 MSTP 单 实例 基础 配置 


每 个 MST 域内 都 存在 一 棵 IST (Internal Spanning Tree， 内 部 生成 树 )， 缺 省 时 ， 交 
换 机 上 的 所 有 VLAN 都 属于 Instance0, 而 IST 则 是 MST 域内 的 交换 机 针对 Instance0 计 
算出 的 一 棵 生成 树 。 

SW1 的 配置 如 下 : 


[SW1]jstp region-configuration 
[SW1-mst-regionlregion-name HCNP 
[SW1-mst-region]revision-level I 
[SW1-mst-regionlactive region-configuration 
[SW1-mst-regionjquit 


[SW1]stp mode msip 
[SW1l]stp root primary 
[SW1]stp enable 


在 以 上 配置 中 ，stp region-configuration 命令 用 于 进入 设备 的 MST 域 视图 ， 针 对 
MST 域 的 相关 配置 需 在 该 视图 下 进行 。region-name HCNP 命令 用 于 将 MST 域名 修改 
为 HCNP,， 缺 省 时 ，MST 域名 是 交换 设备 主 控 板 上 管理 网 口 的 MAC 地 址 。revision-level 
1 命令 用 于 将 MST 域 的 修订 级 别 修改 为 1， 缺 省 时 ，MST 域 的 修订 级 别 为 0， 该 条 命令 
为 可 选 配置 ， 但 是 需要 注意 的 是 ， 同 属 一 个 MST 域 的 交换 机 必须 配置 相同 的 修订 级 别 。 
在 MST 域 视 图 下 执行 上 述 命令 后 ， 缺 省 时 这 些 命 令 并 不 生效 ， 需 执行 active region- 
configuration 命令 来 进行 激活 。 另 外 ，stp root primary 命令 等 同 于 stp instance 0 root 
primary， 即 将 SW1 指定 为 MSTIO 的 主根 桥 。 

SW2 的 配置 如 下 : 


[SW2]stp region-configuration 
[SW2-mst-region]region-name HCNP 
[SW2-mst-regionlrevision-level 1 
[SW2-mst-regionlactive region-configuration 
[SW2-mst-region]quit 


[SW2]stp mode mstp 

[SW2]stp enable 

[SW2]stp root secondary 

在 以 上 配置 中 stp root secondary 命令 等 同 于 stp instance 0 root secondary， 即 将 
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SW2 指定 为 MSTIO 的 次 根 桥 。 
SW3 的 配置 如 下 : 
[SW3jstp region-configuration 
[SW3-mst-region]region-name HCNP 
[SW3-mst-region]revision-level 1 
[SW3-mst-region]active region-configuration 
[SW3-mst-region]guit 


[SW3]stp mode mstp 
[SW3]stp enable 





Li 以 上 配置 中 忽略 了 各 交换 机 的 VLAN 配置 、 各 接口 的 Link-type 配置 以 及 将 VLAN 
添加 到 接口 允许 通行 的 VLAN 列表 中 的 配置 。 


完成 上 述 配 置 后 查看 一 下 SW3 的 接口 状态 : 


<SW3>display stp brief 

MSTID Port Role STP State Protection 
0 ~ . GigabitBthemet0/0/22 ROOT FORWARDING NONE Ea 
0 GigabitEthernet0/0/23 ALTE DISCARDING NONE 


可 以 看 到 , 在 MSTIO 中 ,SW3 的 GE0/0/23 接口 角色 为 替代 接口 ， 而 且 状态 为 于 弃 ， 
这 是 符合 我 们 预期 的 。 

执行 display stp region-configuration 命令 可 查看 当前 生效 的 MST 域 配置 信息 ， 以 
SW3 为 例 : 


<SW3>display stp region-configuration 


~ Oper configuration 
Formatselector “~ :0 
Region name _ :HCNP 
Revision level - 法 
Instance VLANs Mapped 
0 1 to 4094 


10.3.2 ”案例 2: MSTP 多 实例 


对 于 图 10-36 中 的 交换 网 络 ， 客 户 要求 VLAN2 至 10 内 的 PC 与 外 部 网 络 互通 的 业 
务 流量 能 够 在 SW1-SW3 之 间 的 链 路 传输 , 而 VLAN11 至 20 内 的 PC 与 外 部 网 络 互通 的 
业务 流量 能 够 在 SW2-SW3 之 间 的 链 路 传输 。 我 们 计划 部 署 单 域 MSTP〈 域 名 为 HCNP)， 
并 创建 两 个 新 的 实例 : Instancel 及 Instance2， 将 VLAN2 至 10 映射 到 Instance1， 将 
VLANI11 至 20 映射 到 Instance2， 其 余 VLAN 则 保持 在 缺 省 的 Instance0。 

为 了 使 得 VLAN2 至 10 的 业务 流量 能 够 在 SW1-SW3 之 间 的 链 路 传输 ， 可 将 SW1 
规划 为 MSTI1 的 主根 桥 、SW2 则 规划 为 次 根 桥 。 同 理 ， 为 了 使 得 VLAN11 至 20 的 业务 
流量 能 够 在 SW2-SW3 之 间 的 链 路 传输 ， 可 将 SW2 规划 为 MSTI2 主根 桥 ， 而 SW1 则 规 
划 为 次 根 桥 。Instance0 不 再 歼 述 。 

SW1 的 配置 如 下 : 

[SW1]stp region-configuration 

[SW1-mst-regionlregion-name HCNP 
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[SW1-mst-regionlinstance 1 vlan 2 to 10 
[SW1-mst-regionlinstance 2 vlan 11 to 20 
[SWl1-mst-regionlactive region-configuration 
[SW1-mst-regionlquit 






[SWillstp mode mstp 
[SWljstp instance 0 root primary 
[SW1]stp instance 1 root primary 
[SW1jstp instance 2 root secondary 
[SW1]stp enable 
MSTI0 的 主根 桥 ne 
MSTI1 的 主根 桥 SW1 . SW2 MSTI1 的 次 根 
MSTI2 的 次 根 桥 GEO0/0/24 MSTI2 的 主根 桥 
Cy 
SS ey 
Instance 0 其 他 VLAN 
Instance 1 vlan2 至 10 
Instance 2 vlan1ll 至 20 
VEANI, B, 3B cm 2 
图 10-36 MSTP 多 实例 配置 
SW2 的 配置 如 下 : 
[SW2]stp region-configuration 


~ [SW2-mst-region]region-name HCNP 


[SW2-mst-regionlinstance 1 vlan 2 to 10 
[SW2-mst-regionlinstance 2 vlan 11 to 20 
[SW2-mst-regionlactive region-configuration 
[SW2-mst-regionlquit 


[SW2]stp mode mstp 

[SW2]stp instance 0 root secondary 
[SW21stp instance 1 root secondary 
[SW2]stp instance 2 root primary 
[SW21]stp enable 


SW3 的 配置 如 下 : 


[SW3]stp region-configuration 
[SW3-mst-regionlregion-name HCNP 
[SW3-mst-regionlinstance 1 vlan 2 to 10 
[SW3-mst-regionlinstance 2 vlan 11 to 20 
[SW3-mst-regionlactive region-configuration 
[SW3-mst-region]quit 


[SW3]stp mode mstp 
[SW3]stp enable 


482 HCNP 路 由 交换 学 习 指 南 


G 以 上 配置 中 忽略 了 各 交换 机 的 VLAN 配置 、 各 接口 的 Link-type 配置 以 及 将 VLAN 
添加 到 接口 允许 通行 的 VLAN 列表 中 的 配置 。 


完成 上 述 配 置 后 ， 可 检查 一 下 SW3 的 接口 状态 : 


<SW3>display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/22 ROOT FORWARDING NONE - 
0 GigabitEthernet0/0/23 ALTE DISCARDING NONE 
I GigabitEthernet0/0/22 ROOT FORWARDING NONE 
1 GigabitEthernet0/0/23 ALTE DISCARDING NONE 
2 GigabitEthernet0/0/22 ALTE DISCARDING NONE 
2 GigabitEthernet0/0/23 ROOT FORWARDING NONE 


10.4 ”生成 树 的 蔡 代 方案 


如 何在 保证 二 层 交 换 网 络 见 余 性 的 前 提 之 下 ， 消 除 网 络 中 的 二 层 环 路 ， 一 直 是 传统 
园区 网 络 的 重要 课题 。 当 然 ， 经 过 本 章 的 学 习 ， 您 的 第 一 反应 中 想到 的 解决 方案 应 该 是 
生成 树 协议 ， 不 可 否认 ， 它 的 确 是 最 常见 的 解决 方案 之 一 。 如 图 10-37 所 示 ， 在 传统 园 
区 网 络 中 , 汇聚 层 交 换 机 与 接 入 层 交 换 机 构成 了 一 个 二 层 交 换 网 络 , 在 该 网 络 中 部 署 生 成 
树 协 议 已 经 成 为 了 司空 见 惯 的 做 法 。 然 而 随 着 园区 网 络 的 发 展 ，STP/RSTP/MSTP 技术 已 
经 逐渐 无 法 适应 新 的 需求 ， 它 们 的 短 板 也 逐渐 显现 。 收 敛 速 度 慢 是 一 个 明显 的 短 板 ， 由 于 
生成 树 的 工作 依赖 于 BPDU 的 交互 , 虽然 RSTP/MSTP 对 STP 进行 了 改良 , 但 是 在 毫秒 级 
切换 的 高 要 求 下 ， 生 成 树 还 是 显得 力不从心 。 再 者 生成 树 破 环 的 基本 原理 是 将 环 路 中 的 某 
个 或 者 某 些 接口 进行 阻塞 ， 这 将 直接 导致 被 阻塞 的 链 路 无 法 承载 业务 流量 ， 从 而 造成 网 络 
资源 的 浪费 。 当 然 MSTP 在 这 方面 进行 了 改 恨 ， 使 得 不 同 VLAN 的 流量 可 以 在 不 同 的 链 
路 上 进行 负载 分 担 , 然而 对 于 单个 VLAN 而 言 , 始终 存在 某 条 或 者 某 些 链 路 无 法 承载 其 流 
量 的 情况 。 在 现代 园区 网 络 中 ， 许 多 其 他 技术 或 者 解决 方案 已 经 被 用 于 替代 生成 树 技术 。 





a @ 被 生成 树 阻塞 
图 10-37 园区 网 络 中 的 二 层 交 换 网 络 
l. Smart Link 
Smart Link 是 一 种 为 双 上 行 组 网 量 身 定做 的 解决 方案 。 在 图 10-38 中 ， 交 换 机 SW3 
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通过 一 条 上 行 链 路 连接 SW1， 并 且 通 过 男 一 条 上 行 链 路 连接 SW2。 这 就 是 典型 的 双 上 行 
组 网 ， 这 种 组 网 是 非常 适合 部 团 Smart Link 的 。 以 SW3 为 例 ， 如 果 在 该 设备 上 创建 Smart 
Link 组 ， 然 后 将 这 两 个 上 行 接口 添加 到 该 组 中 ， 并 将 GE0/0/22 指定 为 Master 接口 、 将 
GE0/0/23 指定 为 Slave 接口 ， 则 缺 省 时 ， 只 有 Master 接口 是 活跃 的 (Active)， 该 接口 可 
以 正常 收发 业务 流量 ， 而 GE0/0/23 接口 则 被 阻塞 〈Inactive)。 如 此 一 来 ， 网 络 中 的 二 层 
环 路 将 被 打破 。 

当 SW3 的 GE0/0/22 接口 发 生 故 障 ,， 或 者 其 下 连 链 路 发 生 故 障 时 ， 如 图 10-39 所 示 ， 
Smart Link 将 立即 感知 变化 的 发 生 ， 并 且 可 以 实现 毫秒 级 的 迅速 切换 ，GE0/0/23 接口 将 立 
即 过 渡 到 Active 状态 ， 并 开始 收发 业务 流量 。 在 Smart Link 切换 过 程 中 ，SW3 还 可 以 使 用 
Flush 报 文 去 刷新 上 联 设 备 (SW1 及 SW2) 的 MAC 地 址 表 等 数据 表 ， 使 得 网 络 加 速 收敛 。 


SW1 


SWI1 SW2 





%. 
= 
Master 按 口 一 一 一 一 





Slave 接 口 





SW3 SW3 
图 10-38 ”在 SW3 上 部 署 Smart Link， 图 10-39 ”Smart Link 的 切换 过 程 
可 实现 毫秒 级 的 切换 

Smart Link 配置 简单 , 而 且 切 换 时 间 非 常 快 。 当 然 , 受 限 于 该 技术 的 工作 机 制 , Smart 
Link 只 适用 于 特定 的 组 网 场景 。 在 本 例 中 ，SW1、SW2 及 SW3 构成 的 二 层 环 路 使 用 了 
Smart Link 进行 防 环 ， 因 此 生成 树 技术 也 就 无 需 再 使 用 。 

2. 1Stack/CSS 

iStack 是 华为 盒 式 交换 机 的 堆 匡 技术 ， 所 谓 堆 禾 ， 指 的 是 多 台 物 理 交 换 机 通过 特定 
的 线 缆 连接 并 通过 相应 的 配置 组 成 逻辑 上 的 一 台 设 备 的 技术 。 而 CSS (Cluster Switch 
System， 集 群 交 换 系 统 ) 的 概念 与 iStack 类 似 ， 只 不 过 它 针 对 的 是 华为 的 框 式 交 换 机 ， 
例如 S9300 交换 机 等 。 本 节 以 iStack 为 例 。 

在 图 10-40 中 ， 如 果 不 使 用 堆 释 技术， 那么 SW1、SW2 及 SW3 将 构成 一 个 三 角形 
的 二 层 环 路 ， 此 时 该 网 络 将 不 得 不 使 用 STP/RSTP/MSTP 或 Smart Link 等 技术 来 破 环 ， 
而 这 些 技术 无 一 例外 都 采用 阻塞 特定 接口 的 方式 来 实现 网 络 的 无 环 化 ， 这 就 使 得 网 络 资 
源 得 不 到 充分 利用 。 但 是 一 旦 引入 堆 苔 /集群 技术 , 情况 就 大 不 相同 了 。 如 果 图 中 的 SW1 
及 SW2 都 支持 iStack， 那 么 可 以 将 SW1 及 SW2 使 用 扒 县 线 缆 进 行 连接 ， 然 后 组 建 堆 盈 
系统 ， 堆 有 登 系统 建立 完成 后 ，SW1 及 SW2 不 再 是 两 台 单 独 的 交换 机 ， 而 是 一 个 整体 ， 
您 可 以 简单 地 将 其 想象 为 一 台 拥 有 两 个 槽 位 的 框 式 交 换 机 (假设 SWI1 及 SW2 均 是 盒 式 
交换 机 )。 如 此 一 来 ， 网络 的 结构 将 大 大 地 简化 ， 由 于 此 时 SW1 及 SW2 组 建 的 扒 登 系统 
是 一 个 整体 , 在 逻辑 上 是 一 台 设 备 , 因此 设备 的 管理 及 配置 将 变 得 更 加 简单。 男 外 , SWI1 
及 SW3，SW2 及 SW3 之 间 的 链 路 ， 此 时 可 以 看 做 是 两 台 设 备 之 间 的 两 根 互联 链 路 ， 那 
么 我 们 大 可 以 将 这 两 条 链 路 进行 聚合 ， 这 样 网 络 中 将 不 会 再 存在 二 层 环 路 ， 也 无 需 部 署 
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之 前 提 太 的 防 环 技术 。 


SW1 及 SW2 的 堆 释 组 





链 路 聚合 





SW3 
图 10-40 SW1 及 SW2 组 建 堆 和 系统 


图 10-41 展示 了 一 个 园区 网 的 实例 ， 在 该 网 络 中 ， 汇 聚 层 采 用 支持 CSS 的 华为 框 式 
交换 机 ， 而 接 入 层 则 采用 支持 iStack 的 华为 盒 式 交 换 机 。 我 们 可 以 在 汇聚 层 部 署 CSS， 
将 两 台 汇聚 层 交 换 机 组 成 一 个 集群 系统 ， 同 时 在 接 入 层 部 署 iStack， 将 每 一 对 接 入 层 交 

换 机 堆 倒 成 一 台 设 备 ， 如 此 一 来 ， 该 网 络 将 呈现 出 一 个 星 形 的 逻辑 结构 ， 非 常 简 洁 
外 ， 汇 聚 层 交换 机 集群 系统 与 接 入 层 交 换 机 堆 和 登 系统 之 间 的 互联 链 路 也 可 以 进行 聚合 。 
因此 ， 在 这 个 星 形 结构 的 网 络 中 ， 二 层 环 路 不 复 存 在 ， 而 且 所 有 的 物理 链 路 均 处 于 工作 
状态 ED 的 利用 学 和 外 法 大 全 








接 入 层 交 换 机 接 入 层 交换 机 接 入 层 交 换 机 







wg Wn bs ed h Wi i A pg Rs a 
3 市 "| BP 1 NO WN | win | | A 
rad nh a OS oe heed wm 4 


汇聚 层 交 换 机 集群 


接 入 层 交 换 机 堆 生 组 ”” 接 入 层 交 换 机 堆 生 组 。” 接 入 层 交 换 机 堆 释 组 
图 10-41 CSS 及 iStack 技术 在 园区 网 络 中 的 应 用 
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3， 无 二 层 环 路 场景 

在 某 些 网 络 中 ， 我 们 可 能 会 人 为 地 将 网 络 中 的 二 层 环 路 打破 ， 从 而 规避 生成 树 技术 
的 应 用 。 例 如 图 10-42 所 示 的 网 络 ， 汇聚 层 交 换 机 AGG-SW1、AGG-SW2 与 接 入 层 交 换 
机 AS-SW1、AS-SW2 构成 了 一 个 “ 倒 口 型” 
组 网 ， 需 注意 的 是 ，AS-SW1 与 AS-SW2 之 
间 并 未 连 线 , 因此 这 个 由 四 台 交 换 机 组 成 的 
网 络 中 ， 并 不 存在 二 层 环 路 。 由 于 网 络 中 并 
不 存在 二 层 环 路 , 也 就 无 需 使 用 生成 树 技 术 
或 其 他 防 环 技术 了 。 

在 该 网 络 中 ， 服 务 器 使 用 了 双 上 行 链 
路 ， 服 务 器 的 两 张 网 卡 以 主 备 的 方式 工作 ， 
缺 省 时 ， 连 接 到 AS-SW1 的 网 卡 为 主 网 卡 。 
在 这 个 网 络 中 , 虽然 已 经 通过 人 为 的 方式 解 图 10-42 ”网 络 中 无 生成 树 的 场景 
决 了 环 路 的 问题 ， 然 而 却 引 入 了 另 一 个 问 
题 ， 那 就 是 元 余 性 问题 。 设 想 一 下 ， 如 果 此 时 AS-SW1 连接 AGG-SW1 的 链 路 发 生 故 障 ， 
那么 服务 器 显然 是 无 法 感知 到 该 故障 的 发 生 的 ， 它 们 依然 会 从 主 网 卡 发 送 业 务 数 据 ， 而 
这 些 数据 将 在 到 达 AS-SW1 后 被 丢弃 。 因 此 这 个 网 络 是 存在 元 余 性 问题 的 。 一 个 可 行 的 
解决 方案 是 ， 通 过 某 种 技术 使 得 AS-SW1 的 上 行 链 路 发 生 故 障 时 ， 服 务 器 能 够 感知 到 故 
障 的 发 生 ， 例 如 在 服务 器 上 部 署 相 应 的 应 用 程序 ， 通 过 该 应 用 程序 周期 性 地 从 主 网 卡 发 
送 探测 报 文 ， 来 探测 其 到 默认 网 关 (AGG-SW1 及 AGG-SW2 被 配置 为 服务 器 的 默认 网 
关 ) 的 可 达 性 ， 如 果 发 现 从 主 网 卡 到 默认 网 关 不 可 达 ， 则 目 动 将 流量 切换 到 备 网 卡 。 

此 外 ， 华 为 的 Monitor Link 技术 也 可 以 被 用 于 本 场景 中 。Monitor Link 是 一 种 接口 
联动 技术 , 该 技术 被 部 署 在 交换 机 上 后 , 交换 机 会 持续 监控 Monitor Link 的 上 行 接口 〈 由 
网 络 管理 员 指 定 具 体 的 接口 )， 当 上 行 接口 发 生 故 障 时 ， 交 换 机 立即 将 下 行 接口 〈 由 网 络 
管理 员 指 定 具 体 的 接口 ) 关闭 。 在 本 例 中 ,以 AS-SW1 为 例 ， 可 部 姑 Monitor Link 技术 ， 
并 将 其 连接 AGG-SW1 的 接口 配置 为 上 行 接 口 、 将 其 连接 服务 器 网 卡 的 接口 配置 为 下 行 
接口 。 如 此 一 来 ， 当 AS-SW1 的 上 行 接口 发 生 故 障 时 ， 交 换 机 立即 将 其 连接 服务 器 的 下 
行 接口 关闭 ， 从 而 使 得 服务 器 立即 感知 到 故障 的 发 生 ， 然 后 将 其 连接 AS-SW2 的 网 卡 切 
换 成 主 网 卡 ， 并 在 新 的 主 网 卡 上 发 送 数据 。 


AGG-SWI 寺 全 AGG-SW?2 







网 络 中 并 不 存 


10.5 习 十 


1. 〈 单 选 ) 以 下 说 法 错误 的 是 (  ) 
A. MSTP 在 802.1s 标准 中 定义 。 
B. 交换 网 络 中 ， 桥 ID 最 小 的 设备 成 为 根 桥 ， 其 中 桥 ID 由 优先 级 和 接口 MAC 
组 成 。 
C. 两 台 交 换 机 ， 如 果 优 先 级 相同 ， 那 么 MAC 地 址 为 4clf-cc8c-21f5 的 交换 机 
将 比 MAC 地 址 为 4clf-ccb5-6360 的 交换 机 更 有 可 能 成 为 根 桥 。 
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D. 对 于 一 台 非 根 桥 而 言 ， 其 收 到 最 优 BPDU 的 接口 为 根 接口 。 
2.( 单 选 ) 以 下 关于 STP 接口 状态 的 说 法 ， 错 误 的 是 (  ) 
A. 被 阻塞 的 接口 不 会 侦 听 ， 也 不 发 送 BPDU。 


B. 处 于 Learning 状态 的 接口 会 学 习 MAC 地 址 ， 但 是 不 会 转发 数据 。 


C. 处 于 Listening 状态 的 接口 会 持续 侦 听 BPDU。 


D. 被 阻塞 的 接口 如 果 一 定时 间 内 收 不 到 BPDU, 则 会 自动 切换 到 Listening 状态 。 
3. (多 选 ) 以 下 选项 中 (如 图 10-43 所 示 )， 如 果 所 有 的 交换 机 都 关闭 生成 树 功 能 ， 


那么 存在 二 层 转 发 环 路 的 是 〈  ) 
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(加 入 VLAN20)~—、 


Trunk (未 允许 VLAN20) 
(D) 











图 10-43” 找 出 存在 二 层 坏 路 的 选项 


4. 图 10-44 所 示 的 网 络 中 ， 如 果 运 行 STP， 则 根 接口 、 指 定 接 口 以 及 被 阻塞 的 接口 
分 别 是 ? 


SW1 
桥 ID: 4096，0025-1703-0001 





SW1 


SW2 
桥 ID: 4096，0025-1703-0002 


桥 ID: 8192，0025-9ef8-821d 


SW3 
桥 ID: 32768，0025-9ef8-fedd 


图 10-44 ”识别 各 个 接口 的 角色 及 状态 
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11.1 VRRP 概述 


可 靠 性 是 衡量 一 个 网 络 的 健壮 程度 的 重要 指标 ， 一 个 可 靠 性 差 的 网 络 ， 应 对 网 络 故 
障 的 能 力 相 对 较 弱 ， 当 发 生 诸如 网 络 设 备 故 障 或 链 路 故障 时 ， 网 络 上 所 承载 的 业务 受到 
的 冲击 往往 比较 大 ， 严 重 时 更 会 造成 业务 中 断 。 在 图 11-1 所 示 的 网 络 中 ， 多 台 PC 连接 
在 接 入 层 交 换 机 SW 上 ，SW 通过 单 链 路 上 联 路 由 器 R1。 这 些 PC 属于 相同 的 IP 网 段 ， 
并 且 均 将 默认 网 关 地 址 配置 为 Rl1 的 GE0/0/0 接口 的 IP 地 址 192.168.1.253。 这 个 网 络 确 
实 能 够 满足 基本 的 通信 需求 ， 当 PC 发 送 数 据 到 外 部 网 络 时 ， 它 们 将 数据 包 发 给 R1， 再 
由 R1 将 数据 包 转 发 出 去 。 然 而 该 网 络 在 可 靠 性 上 却 存在 极 大 的 短 板 一 一 PC 的 默认 网 关 没 
有 元 余 性 ， 也 就 是 说 当 SW 与 Rl 之 间 的 互联 链 路 发 生 故 障 时 ， 或 者 R1 发 生 故 障 时 ，PC 
就 丢失 了 与 默认 网 关 的 连通 性 , 它们 与 外 部 网 络 的 通信 也 就 断 开 了 , 业务 自然 会 受到 影响 。 






GE0/0/0 
192.168.1.253/24 





PC1 PC2 PC3 
192 168.1.1/24 192 168.1.2/24 192.168.1.3/24 
默认 网 关 192.168.1.253 ”默认 网 关 192.168.1.253 默认 网 关 192 168.1.253 


图 11-1 网 络 的 可 靠 性 存在 短 板 


可 以 在 网 络 中 增加 一 台 路 由 器 ， 作 为 元 余 的 网 关 ， 如 图 11-2 所 示 。 现 在 ， 当 网 络 正 
常 时 ，PC 将 默认 网 关 设 置 为 192.168.1.253， 而 当 R1 发 生 故 障 时 ， 则 由 用 户 更 改 PC 网 
卡 的 配置 ， 将 默认 网 关 修 改 为 192.168.1.252。 显 然 这 种 方法 是 非常 低 效 的 ， 手 工 的 配置 
变更 增加 了 工作 成 本 ， 当 PC 的 数量 特别 多 时 ， 这 部 分 工作 量 将 变 得 非常 大 。 而 且 该 网 
络 无 法 通过 其 自身 的 能 力 自 动 应 对 故障 的 发 生 ， 反 而 需要 通过 人 工 的 方式 进行 啊 应 ， 这 
不 满足 现代 数据 网 络 的 需求 。 虽 然 可 以 在 PC 网 卡 上 配置 宛 余 网 关 ， 但 是 这 同样 增加 了 
PC 端的 配置 复杂 度 , 也 增加 了 维护 工作 量 。 我们 需要 的 解决 方案 是 通过 网 络 设备 ( 网 关 ) 
自身 的 能 力 实现 见 余 性 ， 从 而 提升 网 络 的 可 靠 性 ， 当 故障 发 生 时 ， 网 络 要 能 够 自动 感知 
并 且 实 现 自 动 切换 ， 网 络 对 故障 的 啊 应 过 程 对 业务 无 影响 ，PC 端 对 此 无 感知 。 

VRRP (Virtual Router Redundancy Protocol， 虚 拟 路 由 器 元 余 协 议 ) 就 是 一 个 应 对 该 
问题 的 绝 佳 解决 方案 。VRRP 使 得 多 台 同 属 一 个 广播 域 的 网 络 设备 能 够 协同 工作 ， 实 现 
设备 元 余 ， 从 而 提高 网 络 的 可 靠 性 。VRRP 在 实际 网 络 中 已 被 广泛 部 署 ， 它 目前 有 两 个 
版 本 VRRPv2 和 VRRPv3， 其 中 VRRPv2 仅 适 用 于 IPv4 网 络 ， 而 VRRPv3 适用 于 
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IPv4 和 IPv6 两 种 网 络 。 本 书 将 围绕 VRRPv2 进行 讲解 。 






GEO/0/0 GEO/0/0 


192.168.1.252/24 








PC3 
192.168.1.1/24 192.168.1.2/24 192.168.1.3/24 
默认 网 关 192.168.1.253 默认 网 关 192.168.1.253 默认 网 关 192.168.1.253 


图 11-2 ”在 网 络 中 增加 一 人 台 路 由 器 


PC1 PC2 


如 图 11-3 所 示 , 在 Rl 及 R2 的 GE0/0/0 接口 上 部 普 VRRP, 使 得 两 者 能 够 协同 工作 ， 
可 以 实现 网 关 见 余 。 当 VRRP 开始 工作 后 ， 它 将 产生 一 台 虚 拟 路 由 器 《Virtual Router )， 
这 人 台 虚 拟 路 由 器 的 卫 地 址 为 192.168.1.254 (该 地 址 由 网 络 管理 员 指 定 ), PC 将 自己 的 默 
认 网 关 设 置 为 该 虚拟 路 由 器 的 IP 地 址 ， 如 此 一 来 ， 当 PC 向 外 部 网 络 发 送 数 据 时 ， 数 据 
将 被 发 送 给 虚拟 路 由 器 。 





ET 
” 
. 










:虚拟 路 由 器 2 
NE : : SY 
Master ~ : 1 92.1 68.1.25 4 | 了 Backup 
GEOOO NS Www ”AGE0O/0/0 





192.168.1.253/24 192.168.1.252/24 





PCI1 PC2 PC3 
192.168.1.1/24 192.168.1.2/24 192.168.1.3/24 
默认 网 关 192.168.1.254 默认 网 关 192.168.1.254 默认 网 关 192.168.1.254 


图 11-3 在 Rl 及 R2 上 部 署 VRRP 


值得 注意 的 是 , 虚拟 路 由 器 是 一 台 逻 辑 设 备 , 它 只 是 VRRP 虚拟 出 来 的 一 台 路 由 器 ， 
当 VRRP 开始 工作 后 ，R1 及 R2 会 进行 “选举 ”胜出 的 路 由 右 成 为 Master〈 主 ) 路 由 
器 ， 其 他 的 路 由 器 则 成 为 Backup〈( 备 份 ) 路 由 器 。Master 路 由 器 承担 虚拟 路 由 器 的 具体 
工作 ， 如 此 一 来 当 PC 需要 发 送 数 据 包 到 外 部 网 络 时 ， 数 据 包 实际 被 发 给 Master 路 由 费 
R1 (如 图 11-4)， 而 当 R1 发 生 故 障 时 ， 通 过 VRRP 协议 的 运作 ，R2 能 够 感知 到 当前 的 
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Master 路 由 器 发 生 了 故障 ， 从 而 将 自己 的 状态 目 动 地 切换 到 Master， 接 下 来 它 将 接 蔡 原 


来 属于 R1 的 工作 (如 图 11-5)。 在 整个 VRRP 的 切换 过 程 中 ， 用 户 是 完全 无 感知 的 , PC 
的 配置 也 不 需要 做 任何 变更 。 


dhe had hab 











R1 R2 
Master W224 Backup 
GEO/0/0 GEO/0/0 
192.168.1.253/24 192.168.1.252/24 
PC 访问 外 网 的 数据 流量 
PC1 PC2 PC3 
192.168.1.1/24 192 .168.1.2/24 192.168.1.3/24 


默认 网 关 192.168.1.254 上 默认 网 关 192.168.1.254 默认 网 关 192.168.1.254 
图 11-4 Rl 作为 Master 路 由 器 负责 转发 PC 发 往外 部 网 络 的 数据 


eeennaaeesaaenboesetaese 
时 . 


RI1 SA R2 
DG Master 
A AN 
GE0/0/0 GEO/0/0 


192.168.1.253/24 192.168.1.252/24 


PC 访问 外 网 的 数据 流量 


PC1 PC2 PC3 
192 168 .1.1/24 192 168.1.2/24 192 168.1.3/24 
默认 网 关 192.168.1.254 默认 网 关 192.168.1.254 默认 网 关 192.168.1 254 


图 11-5 ”VRRP 实现 网 关 设 备 的 平滑 切换 


11.2 基本 概念 


1 VRRP 路 由 器 

我 们 将 运行 VRRP 的 路 由 器 称 为 VRRP 路 由 器 。 实 际 上 ，VRRP 是 配置 在 路 由 器 的 
接口 上 的 ， 而 且 也 是 基于 接口 来 工作 的 。 如 图 11-6 所 示 ，R1 及 R2 均 在 各 目的 GE0/0/0 
上 配置 了 VRRP，VRRP 一 旦 被 激活 ， 路 由 器 的 接口 便 开 始 发 送 及 侦 听 VRRP 协议 报 文 。 
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需要 协同 工作 的 VRRP 路 由 器 〈 的 接口 ) 必须 属于 同一 个 广播 域 ， 和 否则 VRRP 报 文 无 法 
正 弟 区 互 。 在 本 例 中 ，R1 的 GE0/0/0 接口 与 R2 的 GE0/0/0 接口 连接 在 同一 台 二 层 交 换 
机 上 ， 而 且 交 换 机 连接 这 两 台 路 由 器 的 接口 属于 相同 的 VLAN,， 因 此 了 R1 及 R2 的 这 两 个 
接口 即 属于 相同 的 广播 域 。 一 旦 交换 机 上 的 VLAN 配置 错误 导致 R1 及 R2 属于 不 同 
VLAN， 那 么 VRRP 的 工作 也 将 出 现 问 题 。 


VRRP 路 由 器 VRRP 路 由 器 


MN PMN MN 
Mw 


RI1 





GEO/0/0 NS Le GEO/O10 
2 192.168.1.252/24 
VRRP VRID=1 VRRP VRID=1 


192.168.1.2/24 
默认 网 关 192.168.1.254 


图 11-6 在 Rl 及 R2 的 接口 上 配置 VRRP， 两 者 加 入 相同 的 VRRP 组 





“不仅 路 由 器 能 够 支持 VRRP， 许 多 交换 机 、 防 火 墙 产品 同样 支持 VRRP， 因 此 路 
由 器 在 此 仅 作 为 一 个 代表 性 的 设备 。 

2. VRRP 组 及 VRID 

一 个 VRRP 组 (VRRP Group) 由 多 人 台 协同 工作 的 路 由 器 〈 的 接口 ) 组 成 ， 使 用 相同 
的 VRID (Virtual Router Identifier， 虚 拟 路 由 器 标识 从 ) 进行 标识 。 属 于 同一 个 VRRP 
组 的 路 由 器 之 间 交 互 VRRP 协议 报 文 并 产生 一 台 虚 拟 路 由 器 。 一 个 VRRP 组 中 只 能 出 现 
一 人 台 Master 路 由 器 。 

在 图 11-6 中 ，RI 的 GE0/0/0 接口 及 R2 的 GE0/0/0 接口 协同 工作 ， 为 PC 实现 元 余 
网 关 ， 因 此 这 两 个 接口 需 加 入 同一 个 VRRP 组 ， 如 果 R1 使 用 的 VRID 为 1， 那么 R2 在 
进行 VRRP 的 相关 配置 时 也 必须 使 用 相同 的 VRID。 

一 个 接口 可 以 加 入 单个 VRRP 组 ， 也 可 以 加 入 多 个 VRRP 组。 当然 ,不同 的 VRRP 
组 需 使 用 不 同 的 VRID 进行 区 分 。 

3. 虚拟 路 由 器 、 虚 拟 IP 地 址 及 虚拟 MAC 地 址 

VRRP 为 每 一 个 组 抽象 出 一 台 虚 拟 路 由 器 (Virtual Router)， 该 路 由 器 并 非 真 实 存 在 
的 物理 设备 , 而 是 由 VRRP 虚拟 出 来 的 逻辑 设备 , 它 拥 有 目 己 的 他 地 址 以 及 MAC 地址， 
”其 中 虚拟 路 由 器 的 IP 地 址 (虚拟 IP 地 址 〉 由 网 络 管理 员 在 配置 VRRP 时 指定 ， 一 台 虚 
拟 路 由 器 可 以 有 一 个 或 多 个 IP 地 址 。 而 虚拟 MAC 地 址 的 格式 是 “0000-5e00-01xx”， 其 
中 xx 为 VRID, 例 如 当 VRID 为 1 时 , 则 虚拟 MAC 地址 为 “0000-5e00-0101”, 一 个 VRRP 
组 只 会 产生 一 台 虚 拟 路 由 器 。 

当 Master 路 由 器 收 到 请 求 虚 拟 路 由 器 MAC 地 址 的 ARP Request 时 , 它 在 ARP Reply 
中 国 应 的 MAC 地 址 是 虚拟 MAC 地址 ， 而 不 是 其 物理 接口 的 MAC 地址。 

在 图 11-6 所 示 的 网 络 中 ,RIl 的 GE0/0/0 接 口 的 中 地址 为 192.168.1.253,R2 的 GE0/0/0 
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接口 的 耳 地 址 为 192.168.1.252, 而 VRRP 所 产生 的 虚拟 路 由 器 的 人 地址 为 192.168.1.254， 
实际 上 192.168.1.254 不 属于 本 网 络 中 的 任何 一 个 物理 接口 , 它 专 用 于 VRRP 虚拟 路 由 器 ， 
该 地 址 将 作为 PC 的 默认 网 关 地 址 。 对 于 PC 而 言 ，R1 及 R2 的 存在 并 不 重要 ， 重 要 的 
是 虚拟 路 由 器 ， 当 PC 访问 外 部 网 络 时 ， 数 据 包 被 发 往 192.168.1.254， 而 实际 上 接收 及 
转发 这 些 数据 包 的 路 由 器 就 是 Master 路 由 器 R1。 

通常 情况 下 ，VRRP 路 由 器 的 接口 IP 地 址 不 会 与 虚拟 路 由 器 的 IP 地 址 重 营 ， 也 就 
是 说 我 们 会 为 虚拟 路 由 器 单独 规划 一 个 IP 地 址 , 而 不 会 使 用 某 台 路 由 器 的 接口 IP 地 址 。 
当然 也 存在 一 个 特殊 的 情况 , 例如 在 某 些 网 络 中 卫 地 址 资源 比较 紧缺 ,那么 也 有 可 能 会 
将 某 人 台 路 由 需 的 接口 IP 地址 用 于 虚拟 路 由 噩 ， 此 时 该 路 由 需 将 无 条 件 成 为 Master。 

4. Master 路 由 荔 、Backup 路 由 药 

Master 路 由 需 是 接口 处 于 Master 状态 的 路 由 右 ， 也 被 称 为 主 路 由 器 。Master 路 由 堪 
在 一 个 VRRP 组 中 承担 报 文 转发 任务 。 在 每 一 个 VRRP 组 中 , 只 有 Master 路 由 器 才 会 响 
应 针对 虚拟 IP 地 址 的 ARP Request。Master 路 由 器 会 以 一 定 的 时 间 间 隅 周期 性 地 发 送 
VRRP 报 文 ， 以 便 通知 同一 个 VRRP 组 中 的 Backup 路 由 器 关于 目 己 的 存活 情况 。 

Backup 路 由 需 是 接口 处 于 Backup 状态 的 路 由 硕 ， 也 被 称 为 备份 路 由 堪 。Backup 路 由 器 
将 会 实时 侦 听 Master 路 由 器 发 送出 来 的 VRRP 报 文 ， 它 随时 准备 接替 Master 路 由 器 的 工作 。 

VRRP 首先 通过 优先 级 〈Priority) 来 从 一 个 组 中 “选举 ”出 Master 路 由 卉 。VRRP 
优先 级 的 值 越 大 则 路 由 器 越 有 可 能 成 为 Master 路 由 器 。 在 优先 级 相等 的 情况 下 , 接口 IP 
地 址 越 大 的 路 由 器 越 有 可 能 成 为 Master 路 由 做。 

5. 抢占 模式 (Preempt Mode ) 

如 果 Backup 路 由 喜 激 活 了 抢占 功能 ， 那 么 当 它 发 现 Master 路 由 器 的 优先 级 比 目 己 
更 低 时 ， 它 将 立即 切换 至 Master 状态 ， 成 为 新 的 Master 路 由 器 ， 而 如 果 Backup 路 由 器 
没有 激活 抢占 功能 ， 那 么 即使 它 发 现 Master 路 由 器 的 优先 级 比 自己 更 低 ， 也 只 能 依然 保 
持 Backup 状态 ， 直 到 Master 路 由 器 失效 。 


11.3 工作 机 制 


11.3.1 报 文 格式 


VRRP 协议 的 正章 工作 依赖 于 VRRP 报 文 的 正确 收发 。VRRP 只 定义 了 一 种 报 文 格 
式 ， 即 通告 (Advertisement) 报 文 ， 它 被 封装 在 IP 报 文 中 ， 卫 头 部 的 协议 号 字段 值 为 
112， 报 文 的 目的 耳 地 址 是 组 播 地 址 224.0.0.18。 在 本 书后 续 的 内 容 中 ，VRRP 报 文 指 的 
便 是 通告 报 文 。 图 11-7 展示 了 VRRP 报 文 的 格式 。 

各 个 字段 的 含义 如 下 。 

e。 版 本 (Version): 对 于 VRRPv2 来 说 ， 该 字段 的 值 恒 为 2。 

。 类 型 (Type): VRRP 只 定义 了 通告 报 文 这 一 种 报 文 类 型 。 该 字段 的 值 恒 为 1。 

。 虚拟 路 由 器 ID (VRID ): 虚拟 路 由 器 的 标识 符 ， 取 值 范围 是 1 一 2355， 属 于 同一 
个 VRRP 组 的 路 由 器 需 使 用 相同 的 VRID。 
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全 (80D 
DD 3 A 


图 11-7 VRRP 报 文 格式 


。 优先 级 (Priority): 取 值 范围 是 0 一 2$5$， 该 值 越 大 ， 则 VRRP 优先 级 越 高 ， 路 由 
筑 也 丈 越 有 可 能 成 为 Master。 在 华为 路 由 人 左上 ， 缺 省 的 VRRP 优先 级 为 100。 
。 IP 地 址 个 数 CCount IP Address): VRRP 组 中 虚拟 IP 地 址 的 个 数 。 这 个 字段 的 
值 指 示 了 该 报 文 后续 的 “IP 地 址 ”字段 的 个 数 。 
。 认证 类 型 (Authentication Type): VRRP 报 文 的 认证 类 型 ， 有 以 下 三 种 情况 : 
加 ” 当 访 字段 为 0 时， 表示 无 认证 (Non Authentication); 
图 ” 当 该 字段 为 1 时 ， 表 示 明 文 认 证 方式 (Simple Text Password ); 
图 ” 当 该 字段 为 2 时， 表示 MD5 认证 方式 CIP Authentication Header)。 
。 通告 间隔 (Advertisement Interval): VRRP 报 文 的 发 送 时 间 间 隔 〈 单 位 为 秒 )， 
号 省 情况 下 ，VRRP 的 报 文 发送 时 间 间 隅 为 1s。 
e 校 验 和 【Checksum): 校 验 和 。 
e JIP 地 址 (IP Address): VRRP 虚拟 IP 地址。 
。 认证 数据 (Authentication Data): VRRP 认证 数据 ， 当 VRRP 明文 认证 或 MD5 
认证 被 激活 时 ， 该 字段 则 填充 相应 的 数据 。 


11.3.2 ”状态 机 


VRRP 定义 了 三 种 状态 ，RFC3768 (Virtual Router Redundancy Protocol) 详细 地 描述 

1，JInitialize ( 初始 状态 ) 

Initialize 状态 是 VRRP 的 初始 状态 。 在 接口 配置 VRRP 后 ， 如果 该 接口 是 Down 的 ( 例 
如 1 接口 被 关闭 ， 或 者 没有 连接 任何 线 绕 )， 那 么 该 接口 的 VRRP 状态 将 会 停 渍 在 Initialize。 

当 接 口 Up 之 后 ， 如 果 其 VRRP 优先 级 为 255( 这 种 情况 发 生 在 该 接口 的 实际 全 地 
址 是 VRRP 虚拟 IP 地 址 的 情况 )， 那 么 接口 的 YRRP 状态 将 由 Initialize 切换 到 Master， 
而 如 果 接 口 的 VRRP 优先 级 不 为 255， 则 进入 Backup 状态 。 

2. Backup (备份 状态 ) 

处 于 Backup 状态 的 路 由 器 是 VRRP 组 中 的 备份 路 由 器 ， 作 为 一 台 备 份 设备 ， 它 并 
不 会 参与 数据 转发 工作 ， 但 是 它 会 实时 监控 当前 Master 路 由 器 的 状态 ， 并 随时 准备 接替 
它 的 工作 。Backup 路 由 器 会 进行 如 下 工作 。 

e。 对 关于 VRRP 虚拟 IP 地 址 的 ARP 请 求 不 予 回 应 。 

e 丢弃 目的 MAC 地 址 为 VRRP 虚拟 MAC 地 址 的 数据 帧 。 
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。 不 接收 目的 卫 地 址 为 VRRP 虚拟 IP 地 址 的 数据 包 。 
e 实时 侦 听 Master 路 由 器 发 送 的 VRRP 报 文 ， 以 便 了 解 其 工作 状态 。 
。 当 其 收 到 一 个 VRRP 报 文 时 。 
国生 该 VRRP 报 文 的 优先 级 为 0( 这 可 能 意味 看 当前 Master 路 由 器 希望 主动 放 
弃 Master 状态 )， 则 将 Master Down Timer 设置 为 Skew Time。 
国生 该 VRRP 报 文 的 优先 级 不 为 0， 则 当 抢 占 模 式 (Preempt Mode) 未 激活 时 ， 
或 者 当 VRRP 报 文中 的 优先 级 大 于 或 等 于 本 接口 优先 级 时 ， 将 Master Adver Interval 设 _ 
置 为 VRRP 报 文 中 的 Advertisement Interval ， 并 重 置 Master Down Timer ， 将 
Master_ Down_Timer 的 时 间 设 置 为 Master_ Down _Interval。 
图 大 该 VRRP 报 文 的 优先 级 不 为 0, 则 当 抢占 模式 激活 并 且 VRRP 报 文中 的 优先 
级 小 于 本 接口 优先 级 时 ， 忽 略 该 VRRP 报 文 ， 立 即 切 换 到 Master 状态 。 






Ly Master Adver_ Interval: Master 路 由 器 所 发 送 的 VRRP 报 文中 ，Advertisement 
Interval 字段 所 填充 的 值 ， 缺 省 时 该 值 为 ls。 该 时 间 间 隔 即 Master 路 由 器 周期 性 发 送 VRRP 
报 文 的 间隔 。 

Master Down Timer: Backup 路 由 器 将 持续 接收 来 自 当 前 Master 路 由 器 的 VRRP 
报 文 ， 每 当 报 文 到 达 时 ，Backup 路 由 器 上 的 Master Down Timer 会 被 重 置 。 如 果 一 定时 
间 内 没有 收 到 来 自 Master 路 由 器 的 VRRP 报 文 并 导致 Master Down Timer 超时 ， 那 么 
Backup 路 由 器 将 认为 Master 路 由 器 已 经 失效 。 

Master Down Interval: 一 定时 间 没 有 收 到 来 自 Master 路 由 器 的 VRRP 报 文 后 ，Backup 
路 由 器 可 认为 当前 Master 路 由 器 已 经 失效 。Master Down Interval= (3xMaster Adver 
Interval) +Skew time。 

Skew time: 一 个 偏 移 时 间 ，Skew Time= ((256 -VRRP 优先 级 ) xMaster Adver 
Interval) /256 。 


e 当 Master Down Timer 超时 《〈 这 意味 着 它 认 为 当前 的 Master 路 由 器 已 经 失效 )。 

国 将 接口 的 状态 切换 到 Master。 

图 开始 从 接口 发 送 目 己 的 VRRP 报 文 。 

国 从 接口 发 送 一 个 免费 ARP Request (Gratuitous ARP Request) 广播 帧 ， 该 ARP 
Request 携带 了 VRRP 虚拟 IP 地 址 及 虚拟 MAC 地 址 的 绑 定 信息 ， 用 于 刷新 该 接口 所 直 
连 的 广播 域内 的 设备 的 ARP 表 、MAC 地 址 表 。 

3. Master ( 主 状态 ) 

处 于 Master 状态 的 路 由 器 是 当前 VRRP 组 的 主 路 由 需 , 它 承担 数据 转发 任务 .Master 
路 由 器 会 进行 如 下 工作 。 

。 当 收 到 关于 虚拟 IP 地 址 的 ARP 请 求 时 ， 以 虚拟 MAC 地 址 进行 回应 。 

。 转发 目的 MAC 地 址 为 虚拟 MAC 地址 的 报 文 。 

e 周期 性 地 发 送 VRRP 报 文 ， 时 间 间 隔 缺 省 为 1s。 

e 当 其 收 到 一 个 VRRP 报 文 时 。 

国 在 该 VRRP 报 文 的 优先 级 为 0， 则 继续 发 送 目 己 的 报 文 。 


第 11 章 VRRP 497 


四 若 该 VRRP 报 文 的 优先 级 不 为 0, 并 且 比 本 接口 的 VRRP 优先 级 值 更 大 , 或 者 
VRRP 优先 级 相等 但 是 VRRP 报 文 的 源 IP 地 址 比 本 接口 IP 地 址 更 大 ， 则 将 接口 的 状态 
切换 到 Backup。 

国 若 该 VRRP 报 文 的 优先 级 不 为 0, 并 且 比 本 接口 的 VRRP 优先 级 值 更 小 ， 则 忽 
上 该 VRRP 报 文 。 


11.3.3 Master 路 由 器 的 “选举 ” 


在 一 个 VRRP 组 中 ,正常 情况 下 只 能 存在 一 人 台 Master 路 由 器 。VRRP 根据 优先 级 和 
IP 地 址 来 决定 哪 台 路 由 器 充当 Master。 优 先 级 的 范围 是 0~~255, 优先 级 的 值 越 大 ， 则 路 
由 右 越 有 可 能 成 为 Master， 其 中 0 及 255 是 两 个 特殊 的 优先 级 ， 不 能 被 直接 配置 。 当 路 由 
器 的 接口 卫 地 址 与 VRRP 虚拟 IP 地 址 相同 时 ， 它 的 优先 级 将 自动 变 成 最 大 值 255， 此 时 
该 路 由 器 被 称 为 IP 地 址 拥有 者 . (IPAddress Owner)。0 是 另 一 个 特殊 的 优先 级 ， 它 出 现在 
Master 路 由 需 主 动 放 弃 Master 角色 时 , 例如 当 接 口 的 VRRP 配置 被 手工 删 挥 时 , 该 Master 
路 由 器 会 立即 发 送 一 个 优先 级 为 0 的 VRRP 报 文 ， 用 来 通知 网 络 中 的 Backup 路 由 器 。 

当 一 个 激活 了 VRRP 的 接口 Up 之 后 ,如 果 接 口 的 VRRP 优先 级 为 255, 那么 其 VRRP 
状态 将 直接 从 Initialize 切换 到 Master， 向 如 果 接 口 的 VRRP 优先 级 不 为 255， 则 首先 切 
换 到 Backup 状态 ， 然 后 再 视 苋 争 结果 决定 是 否 能 够 切换 到 Master 状态 。 

如 果 在 同一 个 广播 域 的 同一 个 VRRP 组 内 出 现 了 两 合 Master 路 由 需 , 那么 它们 将 比 
较 目 己 与 对 方 的 优先 级 ， 优 先 级 的 值 更 大 的 设备 胜出 ， 继 续 保 持 Master 状态 ， 而 竞争 失 
败 的 路 由 器 则 切换 到 Backup 状态 。 如 果 这 两 台 Master 路 由 器 的 优先 级 相等 ， 那 么 接口 
IP 地 址 更 大 的 路 由 器 接口 将 会 保持 Master 状态 ， 而 另 一 台 设 备 则 切换 到 Backup 状态 。 
当然 ， 一 个 网 络 在 稳定 运行 时 ， 同 一 个 VRRP 组 内 不 应 该 同时 出 现 两 台 Master 路 由 器 。 

处 于 Master 状态 的 路 由 器 会 周期 性 地 发 送 VRRP 报 文 , 并 在 报 文中 描述 自己 的 优先 
级 、IP 地 址 等 信息 。 同 一 个 广播 域 中 、 同 一 个 VRRP 组 的 Backup 路 由 右 会 侦 听 这 些 报 
文 。 如 果 此 时 网 络 中 新 出 现 了 一 人 台 Backup 路 由 器 〈 其 优先 级 高 于 当前 Master 路 由 需 )， 
激活 了 抢占 功能 ， 那 么 它 会 忽略 收 到 的 VRRP 报 文 ， 并 且 切 换 到 Master 状态 ， 同 时 发 送 
自己 的 VRRP 报 文 并 在 报 文 中 摘 述 其 优先 级 等 信息 , 而 此 前 的 Master 路 由 噩 在 收 到 了 该 
VRRP 报 文 后 ， 则 切换 到 Backup 状态 。 


11.3.4 ”工作 过 程 


接 下 来 通过 一 个 简单 的 例子 讲解 VRRP 的 基本 工作 过 程 ,以 图 11-8 所 示 的 网 络 为 例 ， 
PC、R1 及 R2 连接 在 同一 台 交 换 机 上 ， 它 们 都 处 于 同一 个 广播 域 中 。VRRP 的 工作 过 程 
如 下 。 

(1) 假设 Rl 率先 启动 ， 其 GE0/0/0 接口 的 VRRP 首先 进入 Initialize 状态 ， 当 接口 
Up 后 ， 其 VRRP 状态 将 从 Initialize 切换 到 Backup， 并 且 在 Master Down Timer 超时 后 
切换 到 Master 状态 ，R1 将 成 为 Master 路 由 器 。 随 后 它 会 立即 发 送 一 个 免费 ARP 报 文 ， 
PC 在 收 到 这 个 ARP 报 文 后 ， 就 获悉 了 虚拟 IP 地 址 (192.168.27.254) 与 虚拟 MAC 地 址 
《0000-S$e00-011b) 的 对 应 关系 ， 当 然 交 换 机 也 会 学 习 到 关于 该 虚拟 MAC 地 址 的 MAC 
表 项 (如 图 11-9 所 示 )。 此 后 R1 将 以 1 秒 为 间隔 ， 周 期 性 地 发 送 VRRP 报 文 。 
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图 11-8 VRRP 的 工作 过 程 
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图 11-9 RI1 成 为 Master 路 由 器 


(2) R2 开始 工作 后 ， 它 的 GE0/0/0 接口 将 从 Initialize 状态 切换 到 Backup 状态 ， 并 
且 会 收 到 R1 所 发 送 的 VRRP 报 文 ， 从 这 些 报 文中 ， 它 得 知 上 自己 的 VRRP 优先 级 小 于 对 
方 的 优先 级 ， 因 此 它 将 其 VRRP 状态 保持 在 Backup。 

(3) 现在 PC 要 发 送 数据 给 外 部 网 络 ， 由 于 目的 瑟 地 址 并 不 在 本 地 网 段 中 ， 因 此 它 
将 数据 包 发 往 自 己 的 默认 网 关 ， 也 就 是 192.168.27.254， 查 询 ARP 表 后 ， 它 发 现 网 关 的 
IP 地 址 对 应 的 MAC 地 址 为 0000-$e00-011b， 于 是 为 报 文 封装 以 太 网 帧 头 ， 该 数据 帧 的 
目的 MAC 地址 是 0000-$e00-011b。 接 下 来 数据 帧 被 发 往 交 换 机 , 交换 机 查询 MAC 表 后 ， 
将 该 帧 从 相应 的 接口 转发 给 R1。 最 后 R1 将 数据 转发 到 外 部 网 络 。 

(4) 当 R1 与 交换 机 的 互联 链 路 发 生 故 障 时 (或 者 当 RI1 发 生 故 障 时 )，R2 将 无 法 再 
收 到 前 者 发 送 的 VRRP 报 文 ， 在 Master Down Timer 超时 后 ，R2 将 VRRP 状态 切换 到 
Master， 于 是 它 成 为 了 新 的 Master 路 由 需 ， 它 立刻 从 GE0/0/0 接口 发 送 一 个 免费 ARP 报 
文 , 如 此 一 来 交换 机 的 MAC 地址 表 将 被 立即 刷新 ,VRRP 虚拟 MAC 地址 0000-5e00-011b 
的 表 项 会 天 联 到 新 的 接口 上 ，PC 发 往 该 目的 MAC 地 址 的 数据 帧 将 被 引导 至 R2。 整 个 
过 程 对 于 PC 而 言 是 无 感知 的 。 

(5) 接 下 来 ，R1 及 其 与 交换 机 的 互联 链 路 从 故障 中 恢复 ，R1 的 GE0/0/0 接口 的 VRRP 
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状态 将 从 Initialize 切换 到 Backup， 同 时 它 将 收 到 R2 发 送 的 VRRP 报 文 ， 并 发 现 对 方 的 
优先 级 比 自己 更 低 ， 此 时 如 果 R1 激活 了 抢占 功能 ， 那 么 它 会 忽略 R2 所 发 送 的 VRRP 
报 文 ,并 且 将 VRRP 状态 切换 到 Master, 同时 从 GE0/0/0 接口 发 送 一 个 免费 ARP 报 文 (用 
于 刷新 交换 机 的 MAC 地 址 表 项 )， 并 开始 从 GE0/0/0 接口 发 送 VRRP 报 文 。 缺 省 情况 下 
VRRP 的 抢占 功能 就 处 于 激活 状态 ， 而 且 抢 占 的 延迟 时 间 为 0 秒 ,也 就 是 立即 执行 抢占 。 
经 过 上 述 过 程 后 ，R1 成 为 新 的 Master 路 由 器 。 当 然 ， 如 果 R1 没有 激活 抢占 功能 ， 那 么 
它 将 保持 Backup 状态 。 

(6) R2 在 收 到 R1 发送 的 VRRP 报 文 后 ， 发 现 自己 的 优先 级 比 对 方 更 低 ， 因 此 它 从 
Master 状态 切换 到 Backup 状态 。 


11.4 配置 及 实现 


11.4.1 案例 1: 基础 VRRP 


以 图 11-10 所 示 的 网 络 为 例 ，PC、R1 及 R2 连接 在 同一 台 交 换 机 上 ， 处 于 同一 个 广 
播 域 中 。IP 地 址 及 VRRP 相关 数据 的 规划 如 图 所 示 。 我 们 将 在 R1 及 R2 上 完成 相应 的 
配置 ， 使 得 它们 能 够 为 PC 实现 网 天元 余 。 
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RI1 W224 A R2 
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Master Backup 
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默认 网 关 192 168.1.254 


图 11-10 VRRP 基础 配置 


R1 的 配置 如 下 : 

[RIjinterface GigabitEthernet0/0/0 

[R1-GigabitEthernet0/0/0]ip address 192.168.1.253 24 
[RI1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 120 
[R1-GigabitEthernet0/0/0]vrrp vrid 1 preempt-mode timer delay 60 


在 以 上 配置 中 , yrrp vrid 1 virtual-ip 192.168.1.254 命令 用 于 创建 一 个 VRID 为 1 的 
VRRP 组 ， 其 中 虚拟 卫 地 址 为 192.168.1.254。Vrrp vrid 1 priority 120 命令 用 于 配置 该 
接口 在 这 个 VRRP 组 中 的 优先 级 〈 缺 省 时 ， 优 先 级 为 100)。 缺 省 情况 下 VRRP 的 抢占 机 
制 已 经 激活 〈 可 以 使 用 vrrp vrid 1 preempt-mode disable 命令 关闭 抢占 功能 )，vrrp vrid 
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1 preempt-mode timer delay 60 命令 用 于 将 抢占 的 延 人 运 时 间 设 置 为 60 秒 。 
R2 的 配置 如 下 : 


[R2]interface GigabitEthernet0/0/0 
[R2-GigabitEthernet0/0/0]ip address 192.168.1.252 24 
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 


需 注 意 的 是 , 由 于 R2 与 R1 被 规划 在 同一 个 VRRP 组 中 , 因此 两 者 需 使 用 相同 的 VRID， 
并 且 配 置 相同 的 虚拟 卫 地 址 。 另 外 ，R2 的 VRRP 优先 级 并 未 配置 ， 因 此 保持 缺 省 值 100。 
完成 配置 后 ， 在 R1 上 使 用 display vrrp 检查 一 下 配置 结果 : 


[Rl]display vrrp 
GigabitEthernet0/0/0 | Virtual Router 1 

State : Master 
Virtual IP : 192.168.1.254 # 虚 拟 全 地 址 
Master IP : 192.168.1.253 # 当 前 的 Master 路 由 器 的 接口 IP 地 址 
PriorityRun : 120 # 本 设备 运行 中 的 优先 级 
PriorityConfig : 120 # 本 设备 所 配置 的 优先 级 
MasterPriority : 120 # 当 前 的 Master 路 由 器 的 优先 级 


Preempt:YES Delay Time : 60s # 抢 上 右 机 制 已 激活 ， 抢 点 延迟 时 间 为 60s 

TimerRun : 1s 

TimerConfig: 18 一 - 
Auth type : NONE 

Virtual MAC : 0000-5e00-0101 # 虚 拟 MAC 地 址 

Check TTL : YES 

Config type : normal-vrrp 

Backup-forward : disabled 

Create time ; 2015-07-01 16:08:17 UTC-08:00 

Last change time : 2015-07-01 16:08:21 UTC-08:00 


从 以 上 输出 可 以 看 出 ，R1 的 GE0/0/0 接口 目前 的 VRRP 状态 为 Master， 因 此 它 是 
VRRP 组 的 Master 路 由 器 。 
在 R2 上 检查 VRRP 的 运行 状态 ， 这 次 使 用 display vrrp brief 命令 


<R2>display vrrp brief 

Total:1 Master:0 Backup:l Non-active:0 

VRID State Interface Type Virtual IP 
Backup GE0/0/0 Normal 192.168.1.254 


相 比 之 下 ， 以 上 输出 更 加 精简 和 直观 。R2 当前 的 VRRP 状态 为 Backup。 
现在 PC 已 经 可 以 ping 通 自己 的 默认 网 关 192.168.1.254。 当 然 ，PC 发 送 到 网 关 
192.168.1.254 的 数据 实际 上 是 到 达 了 R1。 


11.4.2 ”案例 2: 监视 上 行 链 路 


上 文中 已 介绍 ，Master 路 由 器 会 周期 性 地 发 送 VRRP 报 文 ， 以 便 告知 同一 个 VRRP 
组 中 的 Backup 路 由 器 目 己 的 存活 情况 。 在 图 11-10 中 ， 当 R1 的 GE0/0/0 接口 或 者 RI 
整 机 发 生 故 障 时 ，R2 能 够 通过 VRRP 报 文 感知 该 变化 并 且 实 现 主 备 切换 ， 但 是 如 果 是 
R1 的 GE0/0/1 接口 或 者 该 接口 所 连接 的 上 行 链 路 发 生 故 障 的 话 , 缺 省 时 VRRP 是 无 法 感 
知 的 ,因此 R1 的 GE0/0/0 接口 依然 在 该 VRRP 组 中 处 于 Master 状态 ,PC 到 达 外 部 网 络 
的 上 行 数 据 还 是 会 被 牵引 至 R1， 但 是 此 时 RI1 已 经 丢失 了 与 外 部 网 络 的 连通 性 ， 数 据 包 
将 在 这 里 被 丢弃 。 


我 们 可 以 在 R1 
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上 部 车 VRRP 监视 (Track) 功能 ， 通 过 这 个 功能 来 监视 上 行 接口 


GE0/0/1， 当 Rl1 感知 到 这 个 接口 的 状态 切换 到 Down 时 ， 会 自动 将 VRRP 的 优先 级 减 去 
一 个 值 ， 从 而 “退位 让 贤 ” 


R1 的 配置 如 下 : 


[Rllinterface GigabitEthernet0/0/0 

[R1-GigabitEthernet0/0/0]ip address 192.168.1.253 24 
[Rl1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 
[Rl1-GigabitEthernet0/0/0]vrrp vrid 1 priority 120 

[R1-GigabitEthernet0/0/0]vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 


R2 的 配置 如 下 : 


[R2]interface GigabitEthernet0/0/0 
[R2-GigabitEthernet0/0/0l]ip address 192.168.1.252 24 
[R2-GigabitEthernet0/0/0]vyrrp vrid 1 virtual-ip 192.168.1.254 


在 R1 上 部 署 的 配置 中 ，vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 命 
令 用 于 配置 监视 功能 ， 这 条 命令 被 配置 后 ，R1 将 会 监视 其 GE0/0/1 接口 ， 如 果 该 接口 的 状 
态 变 为 Down 无 论 是 协议 状态 还 是 物理 状态 )， 那 么 VRRP 优先 级 将 被 立即 减 去 30， 变 为 
90，R1 将 在 其 从 GE0/0/0 接口 发 送出 去 的 VRRP 报 文中 携带 这 个 新 的 VRRP 优先 级 。 如 此 


| 于 当 R2 收 到 | RI1 


发 送 的 VRRP 报 文 后 ， 它 意识 到 目 己 的 优先 级 〈100) 比 对 方 更 高 ， 由 


于 抢占 功能 缺 省 已 激活 ， 因 此 它 将 目 动 切换 到 Master 状态 ， 成 为 新 的 Master 路 由 器 并 发 送 


自己 的 VRRP 报 文 ， 


而 R1 则 会 在 收 到 R2 发 送 的 VRRP 报 文 后 切换 到 Backup 状态 。 


网 络 正常 时 ，R1 的 VRRP 状态 如 下 : 


<R1>display vrrp 


GigabitEthernet0/0/0 | Virtual Router 1 


State : Master 


Virtual IP ; 192.168.1.254 
Master IP : 253.1.168.192 
PriorityRun : 120 
PriorityConfig :; 120 

_ MasterPriority : 120 


Preempt : YES 
TimerRun :1S 
TimerConfig: 18 


Delay Time :0s 


Auth type:NONE 
Virtual MAC : 0000-5e00-0101 


Check TTL : YES 


Config type : normal-vyrrp 
Backup-forward : disabled 
Track IF : GigabitEthernet0/0/1 ”Priority reduced : 30 


IF state: UP 


# 上 监视 GE0/0/1 接口 ， 当 接口 Down 掉 时 ， 自 动 将 优先 级 减 30 


Create time : 2015-07-01 16:22:37 UTC-08:00 
Last change time : 2015-07-01 17:17:56 UTC-08:00 


现在 我 们 将 R1 的 GE0/0/1 接口 shutdown， 来 模拟 接口 故 陪 的 情况 
此 时 Rl 的 VRRP 状态 如 下 : 


[Rlldisplay vrrp 


GigabitEthernet0/0/0 | Virtual Router 1 


State : Backup 


# 状 态 为 Backup 


Virtual IP : 192.168.1.254 
Master IP : 192.168.1.252 # 当 前 的 Master 路 由 器 是 R2 
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PriorityRun : 90 
PriorityConfig : 120 
MasterPriority : 100 
Preempt : YES 
TimerRun:1s 
TimerConfig : 1 s 
Auth type : NONE 

Virtual MAC : 0000-5e00-0101 
Check TTL : YES 

Config type : normal-vrrp 
Backup-forward : disabled 

Track IF : GigabitEthernet0/0/1 
IF state : DOWN 

Create time : 2015-07-01 16:22:37 UTC-08:00 

Last change time : 2015-07-01 17:22:22 UTC-08:00 


VRRP 的 监视 功能 非常 强大 ， 不 仅仅 能 够 监视 某 个 接口 的 状态 ， 还 能 够 监视 IP 路 由 
前 级 ， 也 可 以 与 BFD、NQA 联动 ， 实 现 更 强大 的 监视 能 力 。 


11.4.3 ”案例 3: 在 路 由 器 子 接口 上 部 署 VRRP 


在 图 11-10 中 ， 正 常情 况 下 从 PC 到 达 外 部 网 络 的 数据 始终 被 发 往 Master 路 由 器 R1， 
而 在 Rl 发 生 故 障 之 前 ，Backup 路 由 器 R2 始终 不 承担 数据 转发 任务 ,交换机 与 R2 之 间 
的 这 段 链 路 也 不 会 承载 业务 数据 ， 这 就 造成 了 设备 资源 和 链 路 带宽 的 浪费 。 在 某 些 网 络 
中 , 网 关 路 由 器 的 性 能 以 及 链 路 的 市 宽 足 以 承载 所 有 的 业务 流量 , 这 种 一 主 一 备 的 VRRP 
工作 方式 确实 能 够 满足 需求 ， 然 而 当 业 务 流量 特别 大 而 路 由 器 的 性 能 及 链 路 带宽 又 存在 
瓶颈 时 ， 就 不 得 不 考虑 让 另 一 台 路 由 器 也 参与 到 业务 流量 转发 的 工作 中 来 。 

在 图 11-11 中 ,交换 机 SW 连接 着 两 个 用 户 VLAN, 它们 分 别 是 VLAN10 及 VLAN20。 
SW 同时 还 连接 着 两 台 路 由 器 : Rl 及 R2， 这 两 台 路 由 器 将 充当 PC 的 默认 网 关 ， 它 们 连 
接着 外 部 网 络 。 该 网 络 的 需求 是 : 正常 情况 下 , VLAN10 内 的 PC 通过 Rl1 到 达 外 部 网 络 ， 
而 当 Rl 发 生 故 障 时 ， 这 些 PC 访问 外 部 网 络 的 上 行 流量 需 自 动 切 换 到 R2; VLAN20 内 
的 PC 则 通过 R2 到 达 外 部 网 络 ， 当 R2 发 生 故 障 时 ， 这 些 PC 访问 外 部 网 络 的 上 行 流量 
需 目 动 切换 到 R1。 


# 当 前 运行 中 的 优先 级 为 90， 在 配置 的 优先 级 基础 上 减 去 30 
# 配 置 的 优先 级 为 120 

# 当 前 Master 路 由 器 的 优先 级 为 100 

Delay Time :0's 


Priority reduced : 30 


GE0/0/0.10(VLAN-ID 10) 
192.168.10.253/24 
VRRP VRID 10 优先 级 120 


GE0/0/0.20(VLAN-ID 20) 
192.168.20.253/24 
VRRP VRID 20 优先 级 100 





GE0/0/0.10(VLAN-ID 10) 
192.168.10.252/24 
VRRP VRID 10 优先 级 100 


GE0/0/0.20(VLAN-ID 20) 
192.168.20.252/24 
VRRP VRID 20 优先 级 120 


上 行 数据 
PC1 VLANI10 PC2 VLAN20 
192.168.10.1/24 192.168.20.1/24 
默认 网 关 192.168.10.254 默认 网 关 192.168 .20 254 
图 11-11 在 路 由 器 子 接口 上 部 署 VRRP 
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在 本 案例 中 ，SW 的 配置 不 再 资 述 ， 需 注意 的 是 ，SW 的 GE0/0/23 及 GE0/0/24 接口 
需 被 配置 为 Trunk 类 型 ， 并 且 人 允许 VLAN10 及 VLAN20 的 流量 通行 。 

以 R1 为 例 ， 其 GE0/0/0 接口 需 处 理 VLAN10 及 VLAN20 的 标记 帧 ， 因 此 我 们 要 在 
该 接口 上 创建 两 个 子 接口 ,分别 对 应 这 两 个 VLAN，R2 同 理 。 另 外 ， 为 了 实现 VLAN10 
及 VLAN20 的 网 天元 余 , 还 需 在 R1 及 R2 的 两 个 子 接口 上 各 部 署 一 组 VRRP, 并 且 对 优 
先 级 进行 合理 把 控 。 

R1 的 配置 如 下 : 

[了 1]interface GigabitEthernet0/0/0.10 

[R1-GigabitEthernet0/0/0.10]dotlq termination vid 10 

[R1-GigabitEthernet0/0/0.10]ip address 192.168.10.253 24 


[R1-GigabitEthernet0/0/0.10]vrrp vrid 10 virtual-ip 192.168.10.254 
[R1-GigabitEthernet0/0/0.10]vrrp vrid 10 priority 120 


[Rl]interface GigabitEthernet0/0/0.20 

[R1-GigabitEthernet0/0/0.20]dotlq termination vid 20 

[R1-GigabitEthemet0/0/0.20]ip address 192.168.20.253 24 

[R1-GigabitEthernet0/0/0.20]vrrp vrid 20 virtual-ip 192.168.20.254 

在 以 上 配置 中 ， 我 们 基于 Rl1 的 GE0/0/0 接口 创建 了 两 个 子 接口 ， 它 们 分 别 是 
GE0/0/0.10 及 GE0/0/0.20， 其 中 子 接口 GE0/0/0.10 对 应 VLAN10， 该 子 接口 加 入 了 一 个 
VRRP 组 ， 其 VRID 为 10， 虚 拟 IP 地 址 为 192.168.10.2$54， 并 且 优 先 级 为 120。 另 外 ， 
GE0/0/0.20 子 接口 对 应 YLAN20， 它 加 入 了 男 一 个 VRRP 组 ，VRID 为 20， 虚 拟 IP 地 址 
为 192.168.20.2$S4， 并 且 优 先 级 保持 缺 省 ， 也 就 是 100。 

R2 的 配置 如 下 : 


[R2]interface GigabitEthernet0/0/0.10 
[R2-GigabitEthemet0/0/0.10]dot1lq termination vid 10 
[R2-GigabitEthemet0/0/0.10]ip address 192.168.10.252 24 
[R2-GigabitEthernet0/0/0.10]vrrp vrid 10 virtual-ip 192.168.10.254 


[R2]interface GigabitEthernet0/0/0.20 
[R2-GigabitEthernet0/0/0.20]dotlq termination vid 20 
[R2-GigabitEthernet0/0/0.20]ip address 192.168.20.252 24 
[R2-GigabitEthernet0/0/0.20]vrrp vrid 20 virtual-ip 192.168.20.254 
[R2-GigabitEthernet0/0/0.20]vrrp vrid 20 priority 120 
R2 的 配置 与 Rl1 相 呼 应 ， 以 上 配置 基于 其 GE0/0/0 接口 创建 了 两 个 子 接口 ， 其 中 子 
接口 GE0/0/0.10 对 应 VLAN10， 该 子 接口 加 入 了 一 个 VRRP 组 ，VRID 为 10 (必须 与 
R1 对 应 的 子 接口 使 用 相同 的 VRID)， 虚 拟 卫 地 址 为 192.168.10.254,， 并 且 优 先 级 保持 缺 
省 ， 这 使 得 R1 的 GE0/0/0.10 子 接口 成 为 该 VRRP 组 的 Master。GE0/0/0.20 这 个 子 接口 
对 应 VLAN20,， 它 加 入 了 另 一 个 VRRP 组 ，VRID 为 20， 虚 拟 IP 地 址 为 192.168.20.254， 
并 且 优 先 级 为 120， 而 这 则 使 得 该 子 接口 成 为 这 个 VRRP 组 的 Master。 
完成 上 述 配置 后 ，R1 的 VRRP 状态 如 下 : 
<R1>display vrrp 
GigabitEthernet0/0/0,10 | Virtual Router 10 
State : Master 
Virtual IP : 192.168.10.254 


Master IP : 192.168.10.253 
PriorityRun : 120 
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PriorityConfig : 120 

MasterPriority : 120 

Preempt :YES Delay Time:0s 
TimerRun:1s 

TimerConfig:1s 

Auth type : NONE 

Virtual MAC : 0000-5e00-010a 

Check TIL :YES 

Config type : normal-vrrp 

Backup-forward : disabled 

Create time : 2015-07-02 12:09:53 UTC-08:00 
Last change time : 2015-07-02 12:10:2$ UTC-08:00 


GigabitEthernet0/0/0.20 | Virtual Router 20 
State : Backup 
Virtual IP : 192.168.20.254 
Master 了 了 : 192.168.20.252 
PriorityRun : 100 
PriontyConfig : 100 
MasterPriority : 120 
Preempt: YES Delay Time:0s 
TimerRun:1s 
TimerConfig: 1s 
Auth type : NONE 
Virtual MAC : 0000-5e00-0114 
Check TTL : YES 
Config type : normal-vrrp 
Backup-forward : disabled 
Create time : 2015-07-02 12:09:40 UTC-08:00 
Last change time :; 2015-07-02 12:11:13 UTC-08:00 


再 看 一 下 R2 的 VRRP 简要 状态 : 


<R2>display vrrp brief 

Total:2 Master:] Backup:] Non-active:0 

VRID State Interface Type Virtual IP 

10 Backup GE0O/0/0.10 Normal 192.168.10.254 
20 Master GE0/0/0.20 Normal 192.168.20.254 


11.4.4 ”案例 4: 在 三 层 交 换 机 上 部 署 VRRP 


前 面 介绍 了 在 华为 路 由 器 上 实现 VRRP 的 一 些 场景 ， 实 际 上 ， 许 多 交换 机 (例如 华 
为 S5700 系列 交换 机 ) 及 防火 墙 产 品 也 是 文 持 VRRP 的 。 在 传统 的 双核 心 园区 网 络 中 ， 
企业 会 部 费 两 台 核 心 层 交换 机 作为 内 网 用 户 的 网 关 设 备 ， 并 在 这 两 台 交 换 机 上 采用 
VRRP 来 实现 网 关 的 宛 余 ， 这 已 经 成 为 一 个 经 典 的 解决 方案 。 图 11-12 为 我 们 展示 了 一 
个 简单 的 示例 , 接 入 层 交 换 机 SW3 下 挂 厦 2 个 VLAN ,它们 分 别 是 VLAN10 及 VLAN20， 
核心 层 交 换 机 SW1 及 SW2 作为 这 两 个 VLAN 的 网 关 设 备 。 企 业 要 求 当 网 络 正 常 时 ， 
VLAN10 的 用 户 通 过 SW1 到 达 外 部 网 络 ， 而 当 SW1 发 生 故 障 时 ， 上 行 流量 需 自动 切换 
到 SW2; VLAN20 的 用 户 在 网 络 正常 时 则 通过 SW2 到 达 外 部 网 络 , 当 SW2 发 生 故 障 时 ， 
上 行 流量 需 目 动 切换 到 SW1。 
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外 部 网 络 
VLANIF10 A 
192.168.10.253/24 


YRRP VRID 10 优先 级 120 


VLANIF10 
192.168.10.252/24 
VRRP VRID 10 优先 级 100 


VLANIF20 
192.168.20.253/24 
VRRP VRID 20 优先 级 100 


VLANIF20 
192.168.20.252/24 
VRRP VRID 20 优先 级 120 


天 
和 
. 
." 
* 
.* 
ba 


-4 


PC1 VLANI0 PC2 VLAN20 


192 168.10.1/24 192.168.20.1/24 
默认 网 关 -192 168.10.254 默认 网 关 192.168.20.254 


图 11-12 ”在 三 层 交 换 机 上 部 署 VRRP 
SW1 的 配置 如 下 : 


[SWil]vlan batch 10 20 

[SWilinterface GigabitEthernet 0/0/23 
[SWI1-GigabitEthernet0/0/23]port link-type trunk 
[SW1-GigabitEthernet0/0/23]port trunk allow=pass vlan 10 20 
[SW1-GigabitEthernet0/0/23]quit 


[SW1ljinterface Vlanif 10 

[SW1-Vlanifl0lip address 192.168.10.253 24 
[SW1-Vlanifl0]vrrp vrid 10 virtual-ip 192.168.10.254 
[SW1-Vlanifl0]vrrp vrid 10 priority 120 
[SW1-Vlanifl10]quit 
[SW1ljinterface Vlanif 20 
[SW1-VlanifPP0]jip address 192.168.20.253 24 
[SW1-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254 
SW2 的 配置 如 下 : 
[SW21]vlan batch 10 20 
[SW2]interface GigabitEthernet 0/0/24 
[SW2-GigabitEthernet0/0/24]port link-type trunk 
[SW2-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 20 
[SW2-GigabitEthernet0/0/24]quit 


[SW2]interface Vlanif 10 

[SW2-Vlanif10]ip address 192.168.10.252 24 
[SW2-Vlanifl0]vrrp vrid 10 virtual-ip 192.168.10.254 
[SW2-Vlanifl0]quit 

[SW2]interface Vlanif 20 

[SW2-Vianif20]ip address 192.168.20.252 24 
[SW2-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254 
[SW2-Vlanif20]vrrp vrid 20 priority 120 





SW3 的 GE0/0/23 及 GE0/0/24 接口 需 配 置 为 Trunk 类 型 ， 并 且 放 通 VLAN10 及 
VLAN20 的 流量 。 
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完成 上 述 配置 后 ， 首 先 在 SW1 上 验证 一 下 配置 结果 : 
<SW1>display vrrp 
Vlanif10 | Virtual Roniter 10 
State : Master 
Virtual IP: 192.168.10.254 
Master IP : 192.168.10.253 
PriorityRun ; 120 
PriorityConfig : 120 
MasterPriority : 120 
Preempt :YES Delay Time:0s 
TimerRun : 1s 
TimerConfg: 1s 
Auth type : NONE 
Virtual MAC : 0000-5e00-010a 
Check TIL :YES 
Config type : normal-vrrp 
Create time : 2015-07-02 13:17:07 UTC-08:00 
Last change time : 2015-07-02 15:00:31 UTC-08:00 


Vlanif20 | Virtual Router 20 
State : Backup 
Virtual IP : 192.168.20.254 
Master IP : 192.168.20.252 
PriorityRun : 100 
PriorityConfig : 100 
MasterPriority : 120 
Preempt:YES Delay Time:0s 
TimerRun :1s 
TimerConfig: 1s 
Auth type : NONE 
Virtual MAC : 0000-5e00-0114 
Check TTL: YES 
Config type : normal-vrrp 
Create time : 2015-07-02 15:02:11 UTC-08:00 
Last change time : 2015-07-02 15:03:38 UTC-08:00 


再 了 解 一 下 SW2 的 VRRP 简要 状态 : 


[SW2]display vrrp brief 

VRID State Interface Type Virtual IP 

10 Backup Vlanif10 Normal 192.168.10.254 
20 Master Vlanif20 Normal 192.168.20.254 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Total:2 Master: 1 Backup:1 Non-active:0 


11.4.5 ”案例 5: VRRP+MSTP 上 典型 组 网 方案 


在 “以 太 网 交换 ”一 章 中 ， 大 家 已经 了 解 了 典型 的 园区 网 三 层 结构 (如 图 11-13 
所 示 )，11.4.5 节 重 点 关注 汇聚 层 及 接 入 层 部 分 。 在 一 个 典型 的 双汇 聚 园 区 网 中 ， 接 入 
层 交 换 机 连接 着 终端 设备 ， 例 如 PC、 服务 器 或 者 无 线 AP (Wireless Access Point， 无 
线 接 入 点 ) 等 ， 另 一 方面 也 连接 痢 两 台 汇 聚 层 交换 机 。 在 图 11-14 中 ， 接 入 层 交 换 机 
AS-SW1 通过 双 链 路 分 别 上 联 汇聚 层 交 换 机 DS-SW1 及 DS-SW2, 两 台 汇 聚 层 交 换 机 之 
间 使 用 聚合 链 路 互联 ， 这 两 台 交 换 机 将 作为 PC 的 网 关 设 备 。 有 几 个 问题 需要 考虑 ， 首 
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先是 PC 的 网 关 见 余 性 ， 其 可 以 通过 在 两 全 汇聚 层 交 换 机 上 部 者 VRRP 解决 。 当 然 ， 
为 了 充分 利用 好 这 两 台 交 换 机 及 链 路 市 宽 ， 可 以 考 钳 结合 多 组 VRRP 实现 负载 分 担 ， 
正如 案例 4 中 所 述 的 那样 。 其 次 是 二 层 环 路 问题 ， 两 台 汇 聚 层 交换 机 与 接 入 层 交 换 机 
构成 了 一 个 三 角形 的 二 层 环 路 ， 对 于 任何 一 个 网 络 而 言 ， 二 层 环 路 的 存在 始终 是 非 利 
危险 的 ， 因 此 消除 环 路 是 必须 考虑 的 一 项 课题 。 在 传统 的 园区 网 络 中 ， 生 成 树 是 用 于 
消除 二 层 环 路 的 常用 技术 ， 大 型 网 络 中 VLAN 的 数量 往往 非常 多 ， 而 二 层 流 量 的 负载 
分 担 需求 又 使 得 我 们 必须 针对 特定 的 VLAN 进行 生成 树 规划 ， 于 是 MSTP 也 就 成 为 多 
数 大 型 园区 网 络 的 选择 。 





图 11-13 典型 的 园区 网 三 层 结构 


综 上 ， 为 了 保证 网 关 的 元 余 性 ， 可 在 两 台 汇 聚 层 交换 机 上 部 署 VRRP， 当 然 ， 为 了 
实现 终端 用 户 上 行 数 据 的 负载 分 担 , 需要 在 每 个 VLAN 中 各 部 署 一 组 VRRP 并 且 视 情况 
调整 两 台 交 换 机 的 VRRP 优先 级 。 男 一 方 ”ps_sw1 DS-SW?2 
面 ， 使 用 MSTP 作为 防 环 协议 ， 同时 也 利用 GE0/0/23-24 GE0/0/23-24 | 
MSTP 实现 负载 分 担 。 本 案例 中 最 关键 的 要 
点 是 VRRP 与 MSTP 的 协同 工作 。 

图 11-15 进一步 展示 了 本 案例 的 一 些 细 
节 信 息 。DS-SW1 及 DS-SW2 拥有 到 达 外 部 
网 络 的 路 径 〈 在 图 中 并 未 画 出 )。 内 网 中 存 
在 20 个 VLAN， 它 们 分 别 是 VLAN11、 
rs 、30, 至 于 网 络 的 需求 , 从 VLAN11- 
20 这 10 个 VLAN 的 PC 到 达 外 部 网 络 的 数 
据 通过 链 路 1 发 往 DS-SW1; 从 VLAN21-30 
这 10 个 VLAN 的 PC 到 达 外 部 网 络 的 数据 tte io 
则 通过 链 路 2 发 往 DS-SW2。 同 时 ，DS-SWI1 图 11-14 典型 园区 网 中 的 接 入 层 与 汇聚 层 示例 
及 DS-SW2 要 求 互 为 热 备 份 。 
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图 11-15 VRRP+MSTP 典型 案例 


为 了 实现 上 述 需 求 ， 首 先 需 要 在 DS-SW1 及 DS-SW2 上 部 署 VRRP， 并 且 是 在 每 个 
VLAN 中 各 部 署 一 组 VRRP， 本 案例 使 用 与 VLAN-ID 相同 的 数值 作为 YRID， 方便 管理 
及 维护 。 然 后 将 DS-SW1 配置 为 VYLAN11-20 的 VRRP Master， 而 将 DS-SW2 配置 为 
VLAN21-30 的 VRRP Master。 男 外 ， 还 需要 在 DS-SW1、DS-SW2 及 AS-SW1 上 部 署 
MSTP， 将 VLAN11-20 映射 到 MSTI10， 将 DS-SW1 配置 为 该 MSTI 的 主根 桥 ， 而 将 
DS-SW2 配置 为 该 MSTI 的 次 根 桥 。 将 VLAN21-30 映射 到 MSTI20， 并 日 将 DS-SW2 配 
置 为 该 MSTI 的 主根 桥 , 而 将 DS-SW1 配置 为 该 MSTI 的 次 根 桥 。 如 此 一 来 对 于 MSTI10 
而 言 ， 被 MSTP 阻塞 的 接口 是 AS-SW1 的 GE0/0/22， 而 对 于 MSTI20 而 言 ， 被 MSTP 阻 
塞 的 接口 是 AS-SW1 的 GE0/0/21。 


AS-SW1 的 配置 如 下 : 

# 创 建 VLAN， 并 将 接口 加 入 相应 的 VLAN: 

[AS-SW1]vlan batch 11 to 30 

[AS-SW1]interface GigabitEthernet0/0/21 
[AS-SW1-GigabitEthernet0/0/21]port link-type trunk 
[AS-SW1-GigabitEthernet0/0/21 lport trunk allow-pass vlan 11 to 30 
[AS-SW1-GigabitEthernet0/0/21]quit 

[AS-SWljinterface GigabitEthernet0/0/22 
[AS-SW1-GigabitEthernet0/0/22]port link-type trunk 
[AS-SW1-GigabitEthernet0/0/22]port trunk allow-pass vlan 11 to 30 
[AS-SW1-GigabitEthernet0/0/22]quit 


# 配 置 MSTP， 将 VLAN11-20 映射 到 Instance10， 将 VLAN21-30 映射 到 Instance20: 
[AS-SW1]stp mode mstp 
[AS-SW1]stp region-configuration 

[AS-SW1-mast-reglon]reglon-name hcnp 

[AS-SW1-mst-regionjinstance 10 vlan 11 to 20 

[AS-SW1-mst-regionjinstance 20 vlan 21 to 30 

[AS-SW1-mst-regionlactive region-configuration 

[AS-SW1I-mst-reglon]quit 

[AS-SW1]stp enable 


DS-SW1 的 配置 如 下 : 


[DS-SW1]vlan batch 11 to 30 


[DS-SW1linterface Eth-Trunk 1 
[DS-SW1-Eth-Trunkl Jtruankport GigabitEthernet 0/0/23 


根 桥 


- 
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[DS-SW1-Eth-Trunkl Jtrunkport GigabitEthernet 0/0/24 
[DS-SW1-Eth-Trunkl lport link-type trunk 
[DS-SW1-Eth-Trunk] |port trunk allow-pass vlan 11 to 30 
[DS-SW1-Eth-Trunkl Jquit 

[DS-SW 1 linterface GigabitEthemet0/0/21 
[DS-SW1-GigabitEthernet0/0/21]port link-type trunk 
[DS-SW1-GigabitEthernet0/0/21]port trunk allow-pass vlan 1]1 to 30 
[DS-SW1-GigabitEthernet0/0/21]guit 


# 配 置 MSTP, 将 VLAN11-20 映射 到 Instance10， 将 VLAN21-30 映射 到 Instance20， 将 DS-SWT 配置 为 MSTI10 的 主 
MSTI20 的 次 根 桥 : z 
[DS-SW1]stp mode mstp 

[DS-SW1 |]stp region-configuration - 

[DS-SW1-mst-region]region-name henp 

[DS-SW1-mst-region|instance 10 vlan 11 to 20 

[DS-SW1-mst-regionlinstance 20 vlan 21 to 30 

[DS-SW1-mst-regionlactive region-configuration 

[DS-SW1-mst-region]quit 

[DS-SW1]stp instance 10 root primary 

[DS-SW'1 |stp instance 20 root secondary 

[DS-SW1]stp enable 


# 配 置 vlanifll、vlanifl2、...... 、vVlanif30， 并 分 别 加 入 VRRP 组 11、12、...... 、30: 
[DS-SWiJinterface Vlanif 11 | 

[DS-SW1-vlanifl 1Jip address 192.168.11.253 255.255.255.0 

[DS-SW1-vlanifl1]vrrp vrid 11 virtual-ip 192.168.11.254 

[DS-SW1-vlanifl1]vrrp vrid 11 priority 120 

[DS-SW1-vianifl1 lquit 


[DS-SW1Jinterface Vlanif 12 


[DS-SW1-vlanifl2]ip address 192.168.12.253 255.255.255.0 
[DS-SW1-vlanifl2]vrrp vrid 12 virtual-ip 192.168.12.254 
[DS-SW1-vlanifl2]vrrp vrid 12 priority 120 
[DS-SW1-vlanifl2]quit 

[DS-SW1jinterface Vlanif 20 

[DS-SW1-vlanif20]ip address 192.168.20.253 255.255.255.0 
[DS-SW1i-vlanif20]vrp vrid 20 virtual-ip 192.168.20.254 
[DS-SW1-vlanif20]vrmp vrid 20 priority 120 
[DS-SW1-vlanif20]quit 

[DS-SW'! Jinterface Vlanif 21 

[DS-SW1-vylanifP21]ip address 192.168.21.253 255.255.255.0 
[DS-SW1-vlanif21]vrrp vrid 21 virtual-ip 192.168.21.254 
[DS-SW1-vlanmif21]quit 

[DS-SW 1 linterface Vlanif 22 

[DS-SW1-vlanif22|ip address 192.168.22.253 255,255.255.,0 
[DS-SW1-vlanif22]vrrp vrid 22 virtual-ip 192.168.22.254 
[DS-SW1-vlanif22]quit 

[DS-SW'] linterface Vlanif 30 

[DS-SW]-vlanif30]ip address 192.168,30.253 255.255.255.0 
[DS-SW1-vlanif30]vrrp vrid 30 virtual-ip 192.168.30.254 
DS-SW2 的 配置 如 下 : 

[DS-SW2]vlan batch 11 to 30 


[DS-SW2]interface Eth-Trunk 1 


510 HCNP 路 由 交换 学 习 指 南 


[DS-SW2-Eth-Trunkl |trunkport GigabitEthernet 0/0/23 
[DS-SW2-Eth-Trunkl J]trankport GigabitEthernet 0/0/24 
[DS-SW2-Eth-Trunk] jport link-type trunk 
[DS-SW2-Eth-Trunk] Jjport trunk allow-pass vlan 11 to 30 
[DS-SW2-Eth-Trunkl Jquit 

[DS-SW2]interface GigabitEthernet0/0/22 
[DS-SW2-GigabitEthernet0/0/22]port link-type trunk 
[DS-SW2-GigabitEthernet0/0/22]port trunk allow-pass vlan 11 to 30 
[DS-SW2-GigabitEthemet0/0/221quit 


[DS-SW2]stp mode mstp 

[DS-SW2]stp region-configuration 
[DS-SW2-mst-regionlregion-name henp 
[DS-SW2-mst-regionlinstance 10 vlan 11 to 20 
[DS-SW2-mst-regionlinstance 20 vlan 21 to 30 
[DS-SW2-mst-regionlactive region-configuration 
[DS-SW2-mst-regionlquit 

[DS-SW2]stp instance 20 root primary 
[DS-SW2]stp instance 10 root secondary 
[DS-SW2]stp enable 


[DS-SW2]interface Vlanif 11 
[DS-SW2-vlanifll]ip address 192.168.11.252 255.255.255.0 
[DS-SW2-vlanifl1]vrrp vrid 11 virtual-ip 192.168.11.254 
[DS-SW2-vlanifl1]jquit 
[DS-SW2]interface Vlanif 12 
[DS-SW2-vlanifi2]ip address 192.168,12.252 255.255.255.0 
[DS-SW2-vlanifl2]vrrmp vrid 12 virtual-ip 192.168.12.254 
[DS-SW2-vlanifl2]quit 
[DS-SW2|interface Vlanif 20 
[DS$-SW2-vlanif20]ip address 192.168.20.252 255.255.255.0 
[DS-SW2-vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254 
[DS-SW2-vlanif20]quit 
[DS-SW2]interface Vlanif 21 
[DS-SW2-vianifPP1]ip address 192.168.21.252 255.255.255.0 
[DS-SW2-vlanif21]vrrp vrid 21 virtual-ip 192.168.21.254 
[DS-SW2-vlanif21]yrrp vrid 21 priority 120 

[DS-SW2-vlanif21]quit = 
[DS-SW2]interface Vlanif 22 
[DS-SW2-vlanif22]ip address 192.168.22.252 255.255.255.0 
[DS-SW2-vlanif22]vrrp vrid 22 virtual-ip 192.168.22.254 
[DS-SW2-vlanif22]vrrp vrid 22 priority 120 
[DS-SW2-vlanif22]quit 
[DS-SW2]interface Vlanif 30 
[DS-SW1-vlanif30]ip address 192.168.30.252 255,255.255.0 
[DS-SW1-vlanif30]vrrp vrid 30 virtual-ip 192.168.30.254 
[DS-SW2-vlanif30]vrrp vrid 30 priority 120 
[DS-SW1-vlanif30]guit 
完成 上 述 配 置 后 ， 首 先 在 AS-SW1 上 验证 一 下 各 个 接口 的 STP 状态 : 
[AS-SW1]jdisplay stp brief 

MSTID Port Role STP State Protection 


0 GigabitEthernet0/0/21 DESI FORWARDING NONE 
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0 GigabitEthermnet0/0/22 DESI FORWARDING NONE 
10 GigabitEthernet0/0/21 ROOT FORWARDING NONE 
10 GigabitEthernet0/0/22 ALTE DISCARDING NONE 
20 GigabitEthernet0/0/21 ALTE DISCARDING NONE 
20 GigabitEthernet0/0/22 ROOT FORWARDING NONE 


册 到 DS-SW1 上 看 看 VRRP 组 的 状态 : 


<DS-SW1>display vrrp brief 


VRID State Interface Type Virtual IP 

J4 0 Motor Vlaniftl Normal 192.168.11.254 

12.- 7 Master Vianitl2 : Normal 192,168,12.254 ， 

20 Master Vlanif20 , Normal © 192.168.20.254 上 
人 Backup Vianif21 Normal 192.168.21.254 

22 Backup Vlanif22 Normal ~ 192.168.22.254 

30 Backup Vlanif30 | Normal 192.168.30.254 


Ce RR ws pri wmw wo RE we 


DS-SW2 的 VRRP 状态 如 下 : 


<DS-SW2>display vrrp brief 

VRID State Interface Type Virtual IP 

11 Backup Vlanifll Normal ~ 192.168.11.254 
12 Backup Vlanifl2 _Normal 192.168.12.254 
20 Backup Vlanif20 aa 192.168.20.254 
21 Master | Vilanif21 Normal 192.168.21.254 
3 Master Vlanif22 Normal 192.168.22.254 
30 Master ~ Vlanif30 Normal ~ 192.168.30.254 


-一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 -一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 .一 一 一 -一 一 


11.5 -而 


1. 〈 单 选 ) 以 下 说 法 错误 的 是 (  ) 
A. 在 同一 个 YRRP 组 中 ， 正 第 情况 下 只 会 存在 一 个 Master 设备 。 
B. 同属 一 个 YRRP 组 的 设备 必须 使 用 相同 的 VRID。 
C. 一 个 YRRP 组 只 能 设置 一 个 虚拟 IP 地 址 。 
D. 设备 的 接口 IP 地 址 可 以 被 选择 作为 VRRP 的 虚拟 IP 地 址 。 
2. 〈 单 选 ) 以 下 说 法 错误 的 是 (  ) 
A. VRRP 优先 级 的 值 越 大 ， 则 设备 越 有 可 能 成 为 Master。 
B. 当 网 络 正 常 时 ，Backup 设备 不 参与 数据 转发 。 
C. 如 果 Master 设备 收 到 VRRP 报 文 ， 并 且 发 现 报 文中 的 VRRP 优先 级 值 比 本 
地 优先 级 值 更 大 ， 则 设备 将 接口 切换 到 Backup 状态 。 
D. VRRP 报 文 载荷 直接 采用 IP 封装 ，IP 头 部 的 协议 号 字段 值 为 112， 另 外 报 文 
采用 组 播 的 方式 发 送 ， 目 的 卫 地 址 为 224.0.0.2。 
3. 在 什么 情况 下 ， 设 备 发 送 的 VRRP 报 文中 优先 级 为 0? 在 什么 情况 下 为 255? 
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12.1 组 播 技 术 基 础 


在 IPv4 网 络 中 ， 存 在 着 三 种 通信 方式 ， 它 们 分 别 是 单 播 、 组 播 以 及 广播 。 这 三 种 通 
信和 方式 各 有 特点 。 

对 于 单 播 通信 ， 相 信 大 家 都 已 经 非常 熟悉 了 ， 毕 竟 在 日 常 的 学 习 和 工作 中 ， 这 种 通 
信和 方式 大 家 接触 得 最 多 。 简 单 地 说 ， 单 播 通信 是 一 种 一 对 一 的 通信 方式 ， 每 个 单 播报 文 
的 目的 了 下 地 址 都 是 一 个 单 播 IP 地 址 ， 并 且 只 会 发 给 一 个 接收 者 ， 而 这 个 接收 者 也 就 是 
该 目的 了 PP 地 址 的 拥有 者 。 

对 于 广播 通信 大 家 也 并 不 陌生 ， 以 常见 的 目的 下 地址 为 255.255.255.255 的 广播 报 文 为 
例 , 这 种 类 型 的 报 文 将 被 发 往 同 一 个 广播 域 中 的 所 有 设备 , 每 一 个 收 到 广播 报 文 的 设备 都 需 
要 解析 该 报 文 ， 如果 设备 解析 报 文 后 发 现 自 己 并 不 需要 该 报 文 (通常 情况 下 , 设备 至 少 需 将 
报 文 解析 到 传输 层 头 部 才能 判断 自己 是 否 需要 该 报 文 )， 则 会 丢弃 它 。 因 此 从 某 种 层面 上 看 ， 
广播 这 种 通信 方式 容易 对 网 络 造成 不 必要 的 资源 消耗 ， 正 因 如 此 ， 在 IPv6 中 ， 广 播 已 经 被 
取消 ， 原 本 由 广播 实现 的 能 力 改 用 组 播 来 实现 。 网 络 中 的 设备 (例如 路 由 器 ) 的 三 层 接口 在 
收 到 广播 报 文 后 通常 不 会 进行 转发 ， 也 就 是 说 广播 流量 会 终结 在 设备 的 三 层 接口 上 。 

组 播 通 信和 是 一 种 一 对 多 的 通信 方式 ,组 播报 文 (目的 他 地 址 为 组 播 IP 地址 的 报 文 ) 
发 同一 组 接收 者 , 这些 接收 者 需要 加 入 到 相应 的 组 播 组 中 才 会 收 到 发 往 该 组 播 组 的 报 文 。 
第 12 章 探 讨 的 是 IPv4 环境 中 的 组 播 ， 在 后 续 的 内 容 中 不 再 特别 强调 。 针 对 某 个 特定 的 
组 播 组 ， 即 使 网 络 中 存在 多 个 接收 者 ， 对 于 组 播 源 而 言 ， 每 次 也 只 需 发 送 一 份 报 文 ， 网 
络 中 的 组 播 转 发 设备 负责 拷贝 组 播报 文 并 同 有 需要 的 接口 转发 。 一 般 而 言 ， 网 络 设备 在 
收 到 组 播报 文 后 ， 缺 省 并 不 会 对 其 进行 转发 ， 这 些 设 备 需 要 激活 组 播 路 由 功能 ， 并 且 维 
护 组 播 路 由 表 项 ， 然后 依据 这 些 表 项 对 组 播报 文 进行 合理 转发 。 因 此 , 组 播 流量 的 传输 ， 
需要 一 个 组 播 网 络 来 承载 。 

12.1 市 将 通过 一 个 简单 的 示例 来 帮助 大 家 了 解 这 三 种 通信 方式 的 特点 及 区 别 。 在 
图 12-1 中 ，Server 是 一 台 多 媒体 服务 器 ， 而 PC1、PC2、PC3 及 PC4 是 网 络 中 的 主机 。 现 
在 Server 开始 播放 视频 ， 用 户 期 望 在 PC1、PC2 及 PC3 上 实时 收看 Server 所 播放 的 视频 。 


“类 PC1 (接收 者 ) 
Wa 192.168.1.1 







"和 PC3〈 接 收 者 ) 
y 192.168.3.1 


Server 


192.168.100.1 spC4 


加 /192 168 4 1 


a PC2 (接收 者 ) 
192.168.2.1 


图 12-1 PC1、PC2 及 PC3 期 望 看 到 Server 直播 的 视频 节目 
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这 是 一 种 典型 的 一 对 多 的 通信 模型 。 简 单 地 说 ， 在 每 一 个 时 刻 ，Server 需要 将 相同 
的 数据 同时 发 送 给 多 个 接收 者 。 如 果 采 用 单 播 的 方式 来 实现 上 述 需 求 ， 那 么 由 于 网 络 中 
存在 多 个 接收 者 ， 对 于 Server 而 言 ， 就 需要 为 每 个 接收 者 各 创建 一 份 数 据 ， 每 一 份 数据 
都 被 发 往 一 台 单 独 的 PC (如 图 12-2 所 示 )。 设 想 一 下 如 果 网 络 中 存在 大 规模 的 接收 者 ， 
那么 Server 就 不 得 不 每 次 都 创建 大 量 的 数据 拷贝 ， 而 且 每 份 拷贝 的 内 容 是 完全 相同 的 ， 
只 是 目的 人 地 址 各 不 相同 , 这 显然 是 极其 低 效 的 ， 同 时 也 造成 了 链 路 市 宽 及 设备 性 能 的 
浪费 。 不 仅 如 此 ，Server 在 发 送 数据 前 ， 还 需要 明确 所 有 接收 者 的 卫 地 址 ， 否 则 它 将 无 
法 构造 数据 包 ， 而 如 果 用 户 要 求 PC 可 以 自由 地 接 入 或 离开 ， 或 者 PC 的 卫 地 址 并 不 固 
定 ， 那 么 显然 单 播 通信 在 该 场景 中 就 不 适用 了 。 





s PC1 〔 接 收 者 ) 
192.168.1.1 
PC3 (接收 者 ) 
192 .168 3 .1 
Y PC4 
192.168 .4.1 
»s PC2 〈 接 收 者 ) 
1 192.168.2 1 单 播报 文 
一 一 一 一 一 全 


图 12-2 Server 为 三 个 接收 者 分 别 创建 一 份 报 文 ， 而 报 文 的 内 容 是 相同 的 


如 果 Server 采用 广播 的 方式 发 送 这 些 数 据 ,， 那么 所 有 的 接收 者 束 不 得 不 与 Server 处 
在 相同 的 广播 域内 ， 因 为 广播 报 文 在 网 络 中 的 泛 洪 范围 非常 有 限 。 再 者 从 网 络 优化 角度 
考虑 ， 广 播 流 量 又 是 应 该 尽 可 能 被 减少 的 ， 毕 苋 ， 这 些 流量 会 造成 其 他 设备 不 必要 的 性 
能 损耗 ， 因 此 在 这 种 场景 中 使 用 广播 通信 显然 并 非 最 佳 方案 。 

接 下 来 看 看 组 播 是 如 何 解决 这 个 问题 的 。 当 Server 开始 播放 视频 时 ， 组 播报 文 
从 Server 源源 不 断 地 被 发 送出 来 ， 无 论 网 络 中 存在 多 少 接收 者 ，Server 每 次 都 仅 需 
发 送 一 份 数 据 。Server 发 出 的 组 播报 文 的 源 IP 地 址 是 192.168.100.1， 而 目的 IP 地 
址 则 是 组 播 IP 地 址 (此 处 以 224.1.1.1 为 例 )。 如 图 12-3 所 示 ，Server 发 送 的 组 播报 
文 到 达 路 由 器 Rl1 后 ，R1 将 组 播报 文 进行 拷贝 ,然后 将 组 播报 文 从 有 需要 的 接口 转 
发 出 去 (给 R2 及 R3)， 至 于 不 需要 该 报 文 的 接口 ， 路 由 砷 是 不 会 辐 其 转发 组 播报 
文 的 。R2 及 R3 收 到 组 播报 文 后 ， 继 续 进 行 拷贝 及 转发 ， 直 到 报 文 到 达 接 收 者 。 只 
有 加 入 组 播 组 224.1.1.1 的 接收 者 才 会 收 到 这 些 组 播报 文 。PC1、PC2 及 PC3 需要 通 
过 某 种 机 制 宣 告 自己 加 入 组 播 组 224.1.1.1。 组 播 源 并 不 关心 一 个 组 播 组 中 存在 多 少 
个 接收 者 , 或 者 这 些 接 收 者 处 于 网 络 中 的 什么 位 置 、 它 们 的 IP 地 址 是 什么 ， 它 只 管 
将 组 播报 文 发 送出 去 ,组 播 网 络 设备 负责 将 组 播报 文 根 据 需 要 进行 拷贝 及 转发 。 在 
图 12-3 中 ,没有 加 入 组 播 组 224.1.1.1 的 PC4 是 不 会 收 到 组 播 流 量 的 ， 事 实 上 R5 
并 没有 连接 任何 接收 者 ， 因 此 它 自 己 也 不 会 收 到 发 往 该 组 播 组 的 流量 ，R3 及 R4 不 
会 将 组 播 流 量 转 发 给 它 。 
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厅 条 5 PC1 (接收 者 》 
Wy 192.168.1.] 


.192.168.3.1 


3 PC4 
192.168.4.1 





三 此 PC2 接收 者 ) 
wy. 192.168.2.1 组 播报 文 
一 一 一 一 人 > 


图 12-3 Server 不 需要 为 每 一 个 接收 者 单独 创建 报 文 ， 它 每 次 只 需 用 这 一 份 报 文 即 可 ， 
网 络 中 的 组 播 设 备 会 对 组 播报 文 进行 拷贝 并 转发 到 需要 该 报 文 的 接口 


组 播 技术 适用 于 一 对 多 的 通信 场景 ， 在 多 媒体 直播 、 在 线 会 议 、 股 佘 金融 等 领域 有 
着 广泛 的 应 用 。 学 习 完 12.1 节 之 后 ， 我 们 应 该 能 够 了 解 以 下 儿 拟 。 

。 组 播 的 基本 概念 ; 

。 组 播 网 络 的 染 构 ; 

。 组 播 IP 地 址 的 概念 及 其 特 反 ; 

。 组 播 MAC 地 址 的 概念 及 其 与 组 播 IP 地 址 的 映射 天 系 。 


12.1.1 ”组 播 网 络 架 构 


图 12-4 展示 了 一 个 典型 的 组 播 网 络 架 构 ， 从 图 中 可 以 直观 地 看 出 ,整个 染 构 大 体 上 
可 以 分 为 三 个 部 分 。 | 

首先 有 几 个 角色 大 家 需要 了 解 清 楚 。 

。 组 播 源 (Multicast Source): 组 播 流 量 的 发 送 源 ， 一 个 典型 例子 是 多 媒体 服务 需 。 
图 12-4 中 ， 服 务 器 Source 就 是 组 播 源 。 在 典型 的 组 播 实现 中 ， 组 播 源 不 需要 激活 任何 
组 播 协议 。 

。 组 播 接收 者 (Multicast Receiver): 期 望 接收 特定 组 播 组 流量 的 终端 PC 或 者 其 他 
类 型 的 设备 ， 例 如 图 12-4 中 的 PC1、PC2 及 PC3。 我 们 也 将 组 播 接收 者 称 为 组 播 组 的 成 
员 ， 在 本 书 中 ， 组 播 接收 者 及 组 播 组 成 员 、 组 成 员 这 些 称呼 的 含义 是 相同 的 。 只 有 加 入 
特定 组 播 组 的 接收 者 ， 才 会 收 到 发 往 该 组 的 组 播 流量 。 

。 组 播 组 (Multicast Group): 采用 一 个 特定 的 组 播 卫 地 址 标识 的 群 组 ， 例 如 
239.1.1.1， 这 个 卫 地 址 标识 了 一 个 组 播 组 ， 我 们 可 以 将 其 想象 成 一 个 电视 频道 ， 当 您 在 
收看 电视 时 , 可 能 有 很 多 频道 (多 个 组 播 组 , 不 同 的 组 播 组 使 用 不 同 的 组 播 IP 地 址 标识 ) 
可 以 选择 ， 此 时 您 只 要 通过 遥控 器 调 至 某 一 个 频道 ， 即 可 观看 该 频道 的 节目 ， 如 此 一 来 ， 
您 (的 电视 ) 就 是 该 频道 的 组 成 员 之 一 (同一 时 间 可 能 有 多 台电 视 在 收看 该 频道 )， 当 然 ， 
如 果 您 从 该 频道 离开 ， 那 么 也 就 不 再 是 其 组 成 员 了 ， 便 不 会 再 看 到 这 个 频道 的 节目 。 

e 组 播 路 由 器 (Multicast Router): 激活 了 组 播 路 由 功能 的 路 由 右 。 实 际 上 ， 不 仅 
仅 路 由 器 能 够 支持 组 播 路 由 ， 许 多 交换 机 、 防 火 墙 等 产品 也 文 持 组 播 路 由 ， 因 此 路 由 和 需 
在 这 里 仅 是 一 个 代表 。 在 组 播 路 由 器 构成 的 组 播 网 络 中 ， 有 了 两 种 角色 是 大 家 需要 额外 天 
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注 的 ， 其 中 之 一 是 第 一 跳 路 由 器 (First-hop Router)， 在 图 12-4 中 ，R1 就 是 第 一 跳 路 由 
做。 第 一 跳 路 由 器 是 直接 面 对 组 播 源 的 组 播 路 由 露 ， 它 将 直接 从 组 播 源 接收 组 播 流 量 ， 
也 就 是 说 ， 它 是 组 播 流 量 进 入 组 播 网 络 的 入 口 。 男 一 个 需要 额外 关注 的 角色 是 最 后 一 跳 
路 由 旧 (Last-hop Router)， 如 图 12-4 中 的 R2、R3、R4 及 R5。 最 后 一 跳 路 由 器 是 直接 
面 对 组 播 接收 者 的 路 由 器 ， 它 除了 负责 将 其 从 组 播 网 络 中 收 到 的 组 播 流 量 从 存在 接收 者 
的 接口 转发 出 去 ， 同 时 也 负责 维护 其 直 连 网 络 中 的 组 成 员 关 系 。 


CITEDETTEEEEETE EL TT 


人 大- PC1 (接收 者 ) 





9 


和 a a a A ; te rove | eT /1 : 
: . PC3 (接收 者 ) 


Source 


让 
Ee Ee Ee EE EE EE EET 


EEE 


”人 时 PC2 (接收 者 ) 


和 


图 12-4 组 播 网 络 架 构 


在 组 播 网 络 架 构 中 ， 组 播 源 与 第 一 跳 组 播 路 由 器 构成 了 第 一 部 分 。 组 播 源 无 需 运 行 
任何 组 播 协议 ， 只 需 将 组 播报 文 发 送出 来 。 组 播报 文 在 传输 层 通 常 采 用 UDP 封装 ,在 网 
络 层 采用 IP 封装 ， 在 本 例 中 ， 组 播 源 Source 发 送出 来 的 组 播报 文 的 源 卫 地 址 为 其 网 卡 
IP 地 址 192.168.100.1《〈 单 播 耻 地址 )， 而 目的 耳 地 址 则 必须 是 一 个 组 播 耻 地 址 。 当 第 
一 跳 路 由 器 Rl1 收 到 这 些 报 文 后 ， 该 组 播报 文 在 网 络 中 的 传输 也 就 开始 了 。 

第 二 个 部 分 是 由 网 络 中 的 组 播 路 由 器 所 构成 的 组 播 网 络 。 为 了 能 够 正确 地 转发 组 播 
报 文 ， 路 由 器 需要 维护 组 播 路 由 表 。 正 如 单 播 路 由 表 通 过 单 播 路 由 协议 来 维护 ， 组 播 路 
由 表 则 使 用 组 播 路 由 协议 来 维护 ， 组 播 路 由 协议 为 路 由 器 页 献 组 播 表 项 。 和 常见 的 组 播 路 
由 协议 有 PIM、MOSPF、MBGP 等 。 形 象 地 说 ， 组 播 路 由 协议 的 主要 功能 之 一 就 是 在 网 
络 中 形成 一 棵 无 环 的 树 ， 它 被 称 为 组 播 分 发 树 (Multicast Distribution Tree)， 这 棵 树 便 是 
组 播 流 量 的 传输 路 径 ， 而 树 的 末梢 就 是 组 播 组 的 接收 者 所 在 的 网 段 ， 如 图 12-5 所 示 。 此 
外 ， 组 播 路 由 协议 还 需 关 注 组 播报 文 转发 过 程 中 的 防 环 问题 ， 它 必须 拥有 相应 的 机 制 确 
保 组 播报 文 在 正确 的 接口 上 到 达 、 并 从 正确 的 接口 转发 出 去 。 

最 后 一 跳 路 由 堪 与 组 播 接收 者 构成 了 组 播 网 络 的 第 三 个 部 分 。 在 网 12-4 中 ，R2、 
R3、R4 及 R5 作为 连接 看 终端 网 段 的 组 播 路 由 需 ， 它 们 需要 通过 茶 种 机 制 得 询 及 发 现 其 
直 连 的 网 段 中 是 否 存在 组 成 员 。 只 有 当 最 后 一 跳 路 由 器 获知 其 直 连 网 段 中 存在 某 个 组 播 
组 的 成 员 时 ， 它 才 会 向 该 网 段 转 发 该 组 的 组 播 流 量 ， 和 否则 ， 路 由 器 将 不 会 把 该 组 播 组 的 
流量 转发 到 这 个 网 段 。 而 对 于 终端 设备 (例如 本 例 中 的 PC1、PC2 及 PC3) 而 言 ， 如 果 
它们 希望 收 到 发 往 某 个 组 播 组 的 流量 ， 那 么 它们 也 需要 一 种 机 制 ， 来 确保 本 地 网 络 中 的 
组 播 路 由 帮 (最 后 一 跳 路 由 硕 〉 知晓 目 己 作为 组 成 员 的 存在 。IGMP (Internet Group 
Management Protocol， 因 特 网 组 管理 协议 ) 便 是 用 于 实现 上 述 功能 的 。 
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图 12-5 组 播 分 发 树 
12.1.2 ”组 播 IP 地 址 


对 于 一 个 单 播报 文 而 言 ， 其 源 卫 地 址 是 报 文 发 送 方 的 地址， 而 目的 下 地 址 则 是 
报 文 接收 方 的 卫 地 址 ， 这 两 个 地 址 必须 都 是 单 播 地址 (Unicast IP Address)。 单 播 IP 
地 址 ， 是 唯一 地 标识 一 台 设 备 的 卫 地 址 。 单 播 主 要 用 于 一 对 一 的 通信 场景 ， 一 个 单 播报 
文 被 发 往 一 个 明确 的 目的 地 ; 然而 组 播 则 不 同 ， 一 个 组 播报 文 是 被 发 给 某 个 组 播 组 的 所 
有 接收 者 的 ， 组 播报 文 的 源 IP 地 址 自然 是 组 播 源 的 卫 地 址 ， 这 片 无 疑问 是 一 个 单 播 IP 
地 址 ， 然 而 报 文 的 目的 IP 地 址 呢 ? 我 们 该 如 何 标识 一 组 接收 者 ? 

在 IPv4 地 址 空间 中 ，A、B 及 C 类 IP 地 址 用 于 单 播 通信 ， 它 们 可 以 被 分 配给 一 人 台 
设备 的 某 个 接口 。 组 播报 文 的 目的 IP 地 址 当然 不 能 是 A、B 及 C 类 IP 地 址 ， 因 为 它 被 
发 往 一 组 接收 者 ，IANA (Internet Assigned Numbers Authority， 互 联网 数字 分 配 机 构 ) 
规定 D 类 IPv4 空间 224.0.0.0/4 用 于 组 播 通 信 ，D 类 IP 地 址 空间 包含 的 地 址 范围 是 
224.0.0.0 到 239.255.255.255，D 类 IP 地 址 也 就 是 组 播 正 地址 (Multicast IP Address)。 
组 播 IP 地 址 用 于 标识 一 组 接收 者 。 

与 A、B 及 C 类 了 人 PP 地 址 不 同 , D 类 IP 地 址 不 能 作为 源 四 地 址 使 用 ， 只 能 作为 目的 
IP 地 址 使 用 ， 换 名 话说 ， 我 们 不 能 将 组 播 IP 地 址 分 配给 一 台 设 备 的 任何 接口 。 另 外 ，D 
类 IP 地 址 是 不 能 进行 子 网 划分 的 。IANA 对 组 播 IP 地 址 空间 进行 了 进一步 的 划分 ， 几 
种 主要 的 组 播 IP 地 址 分 类 见 表 12-1。 

表 12-1 组 播 IP 地 址 分 类 

地 址 范围 SP 描述 

IANA 将 这 些 地 址 分 配 于 特殊 用 途 。 该 类 组 播 IP 地 址 为 永久 组 地 址 ， 
其 工作 范围 只 限于 链 路 本 地 ， 而 不 能 用 于 组 播 转 发 。 目 的 IP 地址 为 此 
类 地 址 的 组 播报 文 在 IP 头 部 中 的 TTL 值 通常 为 !。 这 类 组 播 IP 地 址 
中 ， 有 一 些 已 经 被 大 家 所 熟知 ， 例 如 ， 
e 224.0.0.1 所 有 节点 组 播 地 址 

224.0.0:0 一 224.0.0.255 e 224.0.0.2 一 一 所 有 路 由 器 组 播 地 址 
e 224.0.0.5 一 一 所 有 OSPF 路 由 器 组 播 地 址 
e 224.0.0.6 一 一 所 有 OSPF DR 组 播 地 址 
e 224.0.0.9 一 一 所 有 RIPv2 路 由 器 组 播 地址 
e 224.0.0.13 一 一 所 有 PIMv2 路 由 器 组 播 地 址 
e 224.0.0.18 一 一 VRRP 组 播 地 址 
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( 续 表 ) 
地 址 范围 ee i 


722 | 该 类 IP 地 址 为 临时 组 地 址 ， 这 种 类 型 的 组 播 地 址 全 局 有 效 


233.00.0~238.233.2353.233 
SSM (Source Specific Multicast， 特 定 源 组 播 ) 组 地 址 ， 该 类 IP 地 址 为 
232.0.0.0 一 232.255.255.255 | 临时 组 地 址 ， 这 些 地 址 被 用 于 特定 源 组 播 ， 关 于 特定 源 组 播 的 概念 我 
们 将 在 后 续 内 容 中 介绍 
本 地 管理 组 地 址 ， 在 RFC2365 (Administratively Scoped IP Multicast) 
239.0.0.0 一 239.255.255.255 | 中 定义 。 该 范围 的 组 播 地 址 仅 在 本 地 管理 域内 有 效 ， 从 这 个 层面 上 看 ， 
该 范围 的 地 址 与 私有 IPv4 地 址 的 概念 有 些 类 似 


12.1.3 组 播 MAC 地 址 


一 个 应 用 层 协议 产生 的 数据 载荷 要 想 被 正确 地 发 送 到 目的 地 ， 需 要 增加 相应 的 封 
装 。 在 传输 层 ， 如 果 该 应 用 基于 UDP 协议 ， 那 么 数据 载荷 需要 被 封装 一 个 UDP 头 部 ， 
然后 交 由 网 络 层 的 卫 协议 模块 处 理 ; 在 耳 层 ， 上 层 数 据 被 封装 一 个 IP 头 部 。 对 于 单 播 
报 文 而 言 ， 其 IP 头 部 中 写 入 的 目的 I 了 P 地址 是 目的 设备 的 单 播 IP 地 址 ， 而 对 于 组 播报 文 
而 言 ， 报 文 的 目的 IP 地 址 即 为 组 播 组 的 IP 地 址 。 接 下 来 ， 在 数据 链 路 层 ， 上 层 数据 需 
要 和 再 增加 一 层 封 逆 ， 在 以 太 网 环境 中 ， 它 将 被 封装 以 太 网 的 帧 头 及 帧 尾 。 
对 于 以 太 网 单 播 帧 而 言 , 帧 头 中 写 入 的 目的 MAC 地 址 是 该 帧 在 链 路 层面 上 的 目的 设备 
的 MAC 地址 ， 该 目的 MAC 地 址 必定 是 一 个 单 播 MAC 地 址 ， 这 个 地 址 属于 唯一 的 设备 。 
广播 数据 帧 的 目的 MAC 地 址 为 广播 地 址 (fffEffPEfff7， 这 些 数据 帧 被 发 往 同 一 个 广播 域内 
让 设备 。 而 组 播 数 据 帧 是 发 往 一 组 接收 者 的 ， 其 目的 MAC 地 址 必须 是 组 播 MAC 地 址 。 
综 上 所 述 ，MAC 地 址 存在 三 种 类 型 ， 它 们 分 别 是 单 播 MAC 地 址 、 组 播 MAC 地 址 以 
及 广播 MAC 地 址 。 一 个 MAC 地 址 共计 48bit， 也 就 是 6 个 八 位 组 ， 其 中 第 一 个 八 位 组 的 最 
低 比 特 位 标识 了 该 MAC 地 址 的 类 型 ， 如 果 该 比特 位 为 0， 那么 意味 着 这 是 一 个 单 播 MAC 
地 址 ， 如 果 为 1 则 是 组 播 MAC 地 址 (如 图 12-6 所 示 )， 而 广播 MAC 地 址 是 一 个 特殊 的 组 
播 MAC 地 址 。 因 此 实际 上 组 播 MAC 地 址 共有 2 ”“ 个， 占据 了 整个 MAC 地 址 空间 的 一 半 。 
MAC 地 址 (48bit) 
| 
第 一 个 八 位 组 
pl 


XXXX XXX | XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX XXXX 


0: 单 播 MAC 地 址 
1: 组 播 MAC 地 址 
图 12-6 第 一 个 八 位 组 的 最 低 比 特 位 标识 该 MAC 地 址 是 单 播 或 组 播 MAC 地 址 


对 于 组 播 MAC 地 址 ， 相 信 大 家 并 不 会 太阳 生 ， 通 过 本 书 的 “STP” 一 章 的 学 习 ， 
我 们 已 经 知道 BPDU 载 向 被 直接 封装 在 以 太 网 数据 帧 中 ， 并 且 数 据 帧 的 目的 MAC 地 址 
为 0180-c200-0000， 这 就 是 一 个 组 播 MAC 地 址 ， 类 似 这 样 的 例子 还 有 很 多 ， 此 处 不 再 
一 一 列举 ， 这 些 组 播 MAC 地 址 并 不 与 组 播 IP 地 址 存在 关联 。 除 此 之 外 ， 还 有 一 类 组 播 
MAC 地 址 是 需要 格外 天 注 的 ， 那 就是 与 组 播 了 了 地 址 存在 映射 关系 的 组 播 MAC 地 址 。 
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正如 上 文 所 述 , 在 以 太 网 环境 中 , 组 播 下 报 文 需 被 封装 成 以 太 网 数据 帧 以 便 在 链 路 上 传 
输 ， 而 这 些 数据 帧 的 目的 MAC 地 址 必须 是 组 播 MAC 地 址 ， 并 且 必 须 与 该 报 文 的 组 播 
目的 卫 地址 相对 应 。 与 组 播 IPv4 地 址 相对 应 的 组 播 MAC 地 址 的 高 25bit 是 固定 的 (其 
中 高 24bit 是 0x01005e， 第 25 个 比特 位 为 0)， 而 剩余 的 23bit 则 从 其 对 应 的 组 播 IPv4 
地 址 的 低 23bit 拷贝 得 来 ， 因 此 与 组 播 IPv4 地 址 相对 应 的 组 播 MAC 地 址 的 范围 是 
0100-5e00-0000 至 0100-5e7f-ffff， 这 是 整个 组 播 MAC 地 址 空间 的 一 个 子 集 。 





Dl 与 组 播 IJPv6 地 址 相对 应 的 组 播 MAC 地 址 的 高 16bit 是 固定 的 33-33， 剩余 的 32bit 
从 对 应 的 IPV6 地 址 的 低 32bit 拷贝 而 来 , 这 部 分 内 容 超出 了 本 书 的 范围 ， 本 书 只 讨论 IPv4 
中 的 组 播 。 


图 12-7 展示 了 一 个 组 播 IP 地 址 230.20.88.76 对 应 的 组 播 MAC 地 址 该 如 何 计 算 的 示 
例 。 首先 将 该 IP 地 址 换算 成 二 进 制 格 式 , 然后 将 其 低 23bit 拷贝 到 MAC 地 址 的 低 23bit， 
而 MAC 地 址 的 高 25bit 是 固定 的 ,这 就 得 到 了 组 播 卫 地 址 230.20.88.76 对 应 的 组 播 MAC 
地 址 : 0100-5e14-584c。 





ean 


~ J 


图 12-7 组 播 人 地 址 与 组 播 MAC 地 址 的 映射 关系 





组 播 MAC 


值得 注意 的 是 ， 由 于 组 播 IP 地 址 的 前 4bit 是 固定 的 “1110”， 而 其 最 后 23bit 被 拷贝 
到 对 应 的 组 播 MAC 地 址 中 ， 因 此 组 播 IP 地 址 中 有 Sbit 没有 被 映射 到 组 播 MAC 地 址 ， 
这 样 就 存在 每 2 个 组 播 IP 地 址 共享 一 个 组 播 MAC 地 址 的 现象 , 这 个 现象 在 某 些 场景 下 
可 能 对 网 络 造成 影响 ， 因 此 网 络 管理 员 在 进行 组 播 网 络 设计 的 时 候 需 考虑 到 这 一 点 。 细 
心 的 读者 可 能 会 问 : 组 播 了 下 地 址 与 组 播 MAC 地 址 的 映射 天 系 为 何不 
系 ? 感 兴 趣 的 读者 不 妨 用 “IP 组 播 为 什么 只 有 23 位 是 映射 的 ”为 输入 条 件 到 网 上 去 搜 
索 一 下 ， 相 信 一 定 会 得 到 满意 的 答案 。 


12.1.4 IGMP 概述 

在 组 播 网 络 中 ， 最 后 一 跳 路 由 器 与 组 播 接 收 者 之 间 运 行 看 一 个 非常 重要 的 协议 一 一 
IGMP (Internet Group Management Protocol， 因 特 网 组 管理 协议 )，IGMP 主要 实现 以 下 
儿 个 功能 

。 最 后 一 跳 路 由 吉 通 过 IGMP 报 文 问 其 直 连 的 终 冰 网 络 进行 得 询 ， 以 便 上 发现 该 网 络 中 
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的 组 播 组 的 成 员 。 例 如 图 12-8 中 所 示 ,R1 的 GE0/0/1 接口 直 连 着 一 个 终端 网 络 ,在 其 GE0/0/1 
接口 激活 IGMP 后 ， 它 会 通过 接口 所 发 送 的 IGMP 报 文 查询 该 终端 网 络 中 是 否 存 在 组 播 组 
成 员 。R1I 会 维护 一 个 IGMP 组 表 , 在 其 中 陈列 出 已 经 发 现 了 组 成 员 的 组 播 组 。 缺 省 情况 下 ， 
路 由 器 不 会 癌 该 终端 网 络 转发 组 播 流量 ， 除 非 它 在 该 网 络 中 发 现 了 组 播 组 成 员 。 





IGMP 在 这 里 工作 


图 12-8 IGMP 的 工作 范围 


。 终 闹 设备 使 用 IGMP 报 文宣 布 自己 成 为 某 个 组 播 组 的 成 员 。 在 图 12-8 中 ， 假 设 
PC3 期 望 加 入 组 播 239.1.1.1， 那 么 它 将 同 网 络 中 发 送 一 个 IGMP 报 文 ， 以 便 宣告 自己 加 
组 ，R1 将 在 其 GE0/0/1 接口 上 收 到 这 个 报 文 并 发 现 PC3 的 加 组 行为 。 

IGMP 报 文 采用 IP 封装 ，IP 头 部 中 的 协议 号 为 2， 而 且 TTL 字段 值 通常 为 1， 这 使 
得 IGMP 报 文 只 在 本 地 网 段 内 传播 。 截止 目前 ，IGMP 一 共有 三 个 版 本 。 

。 IGMPv1， 在 RFC 1112 (Host Extensions for IP Multicasting) 中 定义 。 

。 IGMPv2， 在 RFC 2236 (Internet Group Management Protocol, Version 2) 中 定义 。 

。 IGMPv3， 在 RFC 3376 (Internet Group Management Protocol, Version 3) 中 定义 。 

IGMPv1 是 一 个 相对 老 旧 的 版 本 ， 它 只 定义 了 基本 的 组 成 员 查 询 及 组 成 员 关 系 报告 
机 制 。IGMPv2 在 IGMPv1l 的 基础 上 做 了 一 些 改进 ， 其 中 包 插 定义 了 组 成 员 离 开机 制 、 
文 持 特定 组 播 组 租 询 以 及 定义 了 碍 询 需 选举 机 制 等 。IGMPv3 在 之 前 的 版 本 基础 上 增加 
了 组 成 员 对 特定 组 播 源 的 限制 功能 , 另外 , IGMPv3 也 是 SSM (Source-Specific Multicast， 
特定 源 组 播 ) 的 重要 组 件 之 一 。 高 版 本 的 IGMP 具有 向 前 兼容 性 。 在 后 续 的 内 容 中 ， 我 
们 将 分 别 为 大 家 介绍 IGMP 的 这 三 个 版 本 。 


122 MPV1 


12.2.1 报 文 类 型 
IGMPv1 定义 了 两 种 报 文 。 
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e 成 员 关 系 查询 (Membership Query): IGMP 查询 器 使 用 该 报 文 向 直 连 网 段 进行 
查询 ， 以 便 确 认 该 网 段 中 是 否 存在 组 播 组 成 员 。 成 员 关 系 查 询 报 文 的 目的 IP 地 址 是 
224.0.0.1( 所 有 广 扣 组 播 地 址 )。 





TIGMP 查询 器 指 的 是 在 一 个 网 段 中 执行 IGMP 查询 操作 的 最 后 一 跳 路 由 器 。 在 
一 个 网 段 中 可 能 同一 时 间接 入 了 多 台 最 后 一 跳 路 由 器 ， 并 且 这 些 路 由 器 都 在 接口 上 激 
活 了 1IGMP, 此 时 只 有 其 中 的 一 侣 路 由 器 会 成 为 该 网 段 的 IGMP 查询 器 ,并 在 该 网 段 中 
执行 查询 操作 。 关 于 IGMP 查询 器 的 概念 ， 我们 将 在 后 续 的 “IGMPv1 查询 器 ”一 节 中 
详细 介绍 。 


e。 成 员 关 系 报告 (Membership Report): 组 播 组 成 员 收 到 路 由 器 发 送 的 成 员 关 系 
查询 报 文 后 ， 会 以 成 员 关 系 报告 报 文 进行 回 应 ， 以 便 告知 路 由 器 上 日 己 所 加 入 的 组 揪 
组 。 当 然 ， 新 加 入 组 播 组 的 成 员 无 需 等 待 路 由 需 的 成 员 关 系 得 询 报 文 ， 可 以 直接 发 
送 成 员 关 系 报告 报 文 以 宣告 目 己 加 组 ,成 员 关 系 报告 报 文 的 目的 IP 地 址 是 主机 期 户 
加 入 的 组 播 组 的 IP 地 址 ， 而 且 报 文 载荷 中 的 “组 地 址 ”字段 也 记录 了 该 组 播 组 的 
IP 地 址 。 

IGMPv1 的 报 文 格式 如 图 12-9 所 示 。 


组 地 址 (32bit) 





图 12-9 ”IGMPv1 报 文 格式 


各 字段 的 舍 义 如 下 。 

。 版 本 《Version): 对 于 IGMPv1， 该 字段 恒 为 1。 

e 类 型 (Type): 指示 了 该 IGMPv1 报 文 的 类 型 。 对 于 成 员 关 系 查 询 报 文 ， 该 字段 
的 值 为 1; 对 于 成 员 关 系 报告 报 文 ， 该 字段 的 值 为 2。 

。 校 验 和 《Checksum): 校 验 和 。 

。 组 地 址 (Group Address): 对 于 IGMPv1 成 员 关 系 查 询 报 文 ， 该 字段 的 值 被 设置 
为 0.0.0.0; 对 于 IGMPv1 成 员 关 系 报告 报 文 ， 该 字段 的 值 被 设置 为 主机 所 加 入 的 组 播 组 
地 址 。 


12.2.2 IGMPv1 查询 及 响应 


在 图 12-10 中 ，PC1、PC2、PC3 以 及 Rl 连接 到 了 同一 台 二 层 交 换 机 ， 并 且 都 属于 
相同 的 VLAN， 使 用 相同 的 IP 网 段 。 现 在 Rl1 的 GE0/0/1 接口 激活 了 IGMPv1。PC1 及 
PC3 是 组 播 组 239.1.1.1 的 成 员 , 而 PC2 是 组 播 组 239.1.1.2 的 成 员 。 R1 激活 IGMPv1 后 ， 
它 将 在 GE0/0/1 接口 上 周期 性 地 ( 缺 省 以 60 秒 为 周期 ) 发 送 IGMPv1 成 员 关 系 查 询 报 文 ， 
该 报 文 的 目的 卫 地址 是 224.0.0.1 (所 有 市 点 组 播 地 址 )， 并 且 报 文中 “组 地 址 ”和 衬 段 的 
值 为 0.0.0.0,， 访 得 询 面 同 所 有 组 播 组 。R1 发 送 的 IGMPv1 成 员 关 系 得 荀 报 文 到 达 交 换 机 
后 ， 会 被 后 者 进行 泛 洪 ， 因 此 PC1、PC2 及 PC3 都 会 收 到 该 报 文 。 
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为 了 使 目 己 能 够 正常 地 收 到 组 播 流量 ， 组 成 员 收 到 IGMPv1 成 员 关 系 碍 询 报 文 后 
让 要 使 用 IGMPv1 成 员 关 系 报告 报 文 进行 回应 ， 以 便 刷 新 IGMP 路 由 大 的 相关 表 项 。 
然而 当 网 段 中 同一 个 组 播 组 存在 多 个 成 员 时 ， 如 果 所 有 的 成 员 必 使 用 成 员 关 系 报告 回 
应 该 查询 ， 那 么 将 会 产生 多 余 的 IGMP 流量 。 其 实在 一 个 组 播 组 中 只 需要 一 个 组 成 员 
对 成 员 关 系 查 询 进行 回应 即 可 ， 毕 竟 IGMP 路 由 器 只 需要 知道 直 连 网 段 中 存在 某 个 组 
播 组 的 成 员 ， 而 全 于 存在 多 少 个 组 成 员 ， 它 并 不 关心 。IGMP 考虑 到 了 这 个 问题 ， 并 且 
给 1 了 解决 方案 。 







R1 发 送 的 IGMPv1 
咸 员 关系 查询 报 义 RI 


Source 






GEO/O/1 
192.168.1.254 


PC] PC2 PC3 
192 168 .1.1 192 168 .1.2 192 168 .1 3 
组 239.1.1.1 成 员 ”组 239.1.1.2 成 员 组 239.1.1.1 成 员 


图 12-10 ”IGMPv1 查询 过 程 


在 本 例 中 ， 连 接 在 交换 机 上 的 PC 都 会 收 到 R1 发 送 的 IGMPv1 成 员 关 系 查 询 报 文 ， 
所 有 的 PC 都 会 在 本 地 启动 一 个 报告 延迟 计时 器 (Report Delay Timer)， 计 时 器 的 值 被 设 
置 为 0 至 10 秒 之 间 的 一 个 随机 数 ， 当 该 计时 器 超时 的 时 候 ，PC 便 立 即 发 送 IGMPvl 
成 员 关 系 报 告 报 文 。 假 设 PC1 的 计时 右 率 先 超 时 ， 那 么 它 将 立即 发 送 IGMPv1 成 员 关 
系 报告 报 文 ,这 个 报 文 的 目的 也 地址 是 239.1.1.1, 也 就 是 其 加 入 的 组 播 组 的 IP 地 址 (如 
图 12-11 所 示 ), 这 个 组 播报 文 被 封装 成 帧 并 发 往 交 换 机 , 交换 机 将 这 个 数据 帧 进行 泛 潜 ， 
R1 及 其 他 PC 都 会 收 到 该 帧 。 

R1 收 到 这 个 IGMP 报 文 后 ， 了 解 到 其 GE0/0/1 接口 上 存在 组 播 组 239.1.1.1 的 成 员 ， 

-是 它 将 维护 相关 IGMP 组 表 项 及 IGMP 路 由 表 项 ， 当 它 收 到 发 往 239.1.1.1 的 组 播 流 量 
A 便 将 这 些 组 播 流量 从 该 接口 转发 出 去 。 

另 一 方面 , 当 PC3 收 到 PC1 发 送 的 IGMPv1 成 员 关 系 报告 报 文 后 (此 时 它 的 报告 
迟 计时 器 并 未 超时 )， 发 现 后 者 所 加 入 的 组 播 组 与 目 己 相同 , 于 or 
系 报 告 ， 如 此 即 可 减少 网 络 中 多 余 的 IGMP 流量 。 

PC2 加 入 的 组 播 组 是 239.1.1.2， 与 PC1 不 在 同一 个 组 ， 因 此 它 的 计时 器 超时 后 ， 将 
自行 发 送 成 员 关 系 报告 报 文 ， 该 报 文 的 目的 了 P 地 址 是 239.1.1.2。 路 由 需 收 到 该 报 文 后 ， 
了 解 到 接口 GE0/0/1 上 还 存在 着 男 一 个 组 播 组 239.1.1.2 的 成 员 ， 因 此 当 其 收 到 发 往 该 组 
播 组 的 流量 时 ， 便 会 将 流量 从 该 接口 转发 出 去 
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12.2:3 
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PC1 发 送 的 IJGMPv1 
成 员 关系 报告 报 文 RI 


” 源 IP=192.168.1.1 ， 
目的 IP=239.1.1.1 ， 















源 IJP=192.168.1.2 
目的 IP=239.1.1.2 











PC2 发 送 的 IGMPvl 





3 成 员 关系 报告 报 文 
PC1] PC2 pC3 
192.168.1.1 192.168.1.2 192.168.1.3 
组 239.1.1.1 成 员 组 239.1.1.2 成 员 组 239.1.1.1 成 员 
(抑制 了 成 员 关 系 报告 ) 合 


图 12-11 IGMPvy1 成 员 关 系 报告 


IGMPv1 组 成 员 加 入 


当 网 络 中 某 个 PC 想 要 加 入 茶 个 组 播 组 时 ， 它 无 需 等 待 路 由 知 的 成 员 关 系 得 询 ， 可 
以 直接 发 送 成 员 关 系 报告 。 如 图 12-12 所 示 ，PC4 新 接 入 到 该 网 络 中 ， 此 时 它 加 入 了 组 
播 组 239.1.1.3， 它 将 直接 发 送 IGMPv1 成 员 关 系 报告 报 文 ， 该 报 文 的 目的 IP 地 址 为 
239.1.1.3。 路 由 需 R1 收 到 这 个 报 文 后 ， 了 解 到 其 GE0/0/1 接口 的 直 连 网 段 中 出 现 了 组 
239.1.1.3 的 成 员 ， 于 是 它 将 维护 相关 IGMP 组 表 项 及 IGMP 路 由 表 项 ， 当 它 收 到 发 往 


239.1.1.3 的 组 播 流量 时 ， 便 会 将 这 些 流量 转发 到 该 网 络 中 。 


12.2.4 









PC4 发 送 的 IGMPv1 
成 员 关 系 报告 报 文 


源 IP=192168.14 
”目的 IP=239.1.1.3 


组 地 址 =239113 


PC4 
192.168.1.4 过 
组 239.1.1.3 成 员 







Source 





GEO/0/I 
192.168.1.234 






a 


PC1 PC2 
192 168 1 .1 192 .168&8 1 2 192 168 1 3 
组 239.1.1.1 成员 组 2391.1.2 成 员 组 239.1.1.1 成 员 


图 12-12 IGMPv1 组 成 员 加 入 





PC3 


IGMPv1 组 成 员 离 开 


IGMPv1 并 没有 明确 定义 组 成 员 离 开 组 播 组 的 机 制 ， 当 组 成 员 离 开 组 播 组 时 ， 它 只 
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是 简单 地 不 再 回应 成 员 关 系 查 询 ， 因 此 我 们 也 稍 说 ， 在 IGMPv1 中 ， 组 成 员 是 “默默 ” 
地 离开 的 。 

在 图 12-12 中 ， 当 PC1 离开 组 播 组 239.1.1.1 后 ， 它 将 对 R1 发 送 的 IGMPv1 成 员 关 
系 查 询 报 文 不 再 回应 。 然而 由 于 组 播 组 239.1.1.1 中 还 存在 着 组 成 员 PC3， 而 PC3 会 对 该 
查询 进行 回应 , 因此 PC1 的 离开 并 不 会 对 网 络 产生 实质 性 的 影响 。 而 当 PC3 也 离开 组 播 
组 时 ， 该 网 络 中 将 不 会 再 有 239.1.1.1 的 组 成 员 回 应 Rl 的 成 员 关 系 查询 ， 因 此 R1 将 在 
一 定时 间 《〈 缺 省 130 秒 ) 后 认为 该 网 络 中 不 再 存在 组 239.1.1.1 的 成 员 ， 因 此 不 会 再 同 该 
网 络 转发 组 播 组 239.1.1.1 的 流量 。 


12.2.5 ”IGMPv1 查询 器 


设想 一 下 ， 如 果 在 同一 个 网 段 中 连接 着 多 台 组 播 路 由 器 ， 并 且 这 些 路 由 器 都 在 接 入 
该 网 段 的 接口 上 激活 IGMPv1， 且 都 回 该 网 段 发 送 IGMPv1 成 员 关 系 查 询 报 文 ， 这 显然 
会 增加 网 络 中 的 多 余 IGMP 流量 。 在 IGMP 中 , 查询 器 (Querier) 负责 在 网 段 中 发 送 IGMP 
查询 报 文 ， 而 非 查 询 器 则 不 会 发 送 。 

如 图 12-13 所 示 ，R1 及 R2 这 两 台 最 后 一 跳 组 播 路 由 器 都 在 各 自 的 GE0/0/1 接口 上 
激活 了 IGMPv1， 它 们 会 进行 莞 和 争 ， 胜 出 的 路 由 器 《的 接口 ) 将 成 为 该 网 段 的 IGMP 碍 
询 器 。 假 设 R1 胜出， 那么 R1 将 以 缺 省 60 秒 为 周期 ， 向 该 网 段 发 送 IGMPv1 成 员 关 系 
查询 报 文 ， 而 R2 则 不 会 发 送 这 些 报 文 ， 它 只 是 默默 地 在 一 旁 侦 听 R1 发 送 的 IGMPv1 成 
员 关 系 查 询 报 文 ， 当 R1 发 生 故 障 时 ，R2 可 随时 接替 其 工作 。 





IGMPv1 成 员 
关系 查询 报 文 





人 
R1 (23 








GE0/0/1 (查询 器 ) NE 


PC1 PC2 PC3 
组 239.1.1.1 成员 组 239.1.12 成 员 组 239.1.1.1 成 员 
图 12-13 IGMPv1l 查询 器 





GE0/0/1 ( 非 查询 器 ) 


pr 
iIN 


有 


实际 上 IGMPv1 并 没有 定义 查询 器 的 选举 机 制 ， 它 只 能 求助 于 PIM (Protocol 
Independent Multicast， 协 议 无 关 组 播 ) 这 样 的 组 播 路 由 协议 ， 在 本 例 中 ， 如 果 Rl 及 R2 
的 GE0/0/1 接口 除了 激活 了 IGMPv1, 还 激活 了 PIM, 那么 PIM 选举 产生 的 DR(Designated 
Router， 指 定 路 由 器 ) 将 充当 IGMPv1 的 查询 器 。 
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12.3 IGMPvV2 


12.3.1 ”3 报 文 类 型 


在 IGMPv2 中 ， 一 共有 四 种 报 文 。 

1. 成 员 关 系 查 询 (Membership Query ) 

IGMPv2 定义 了 两 种 成 员 关 系 查 询 报 文 的 子 类 型 常规 查询 (General Query) 报 文 
及 特定 组 查询 (Group-Specific Query) 报 文 。 

。 常规 查询 : IGMP 查询 器 使 用 该 报 文 回 直 连 网 段 进行 查询 ， 以 确认 该 网 段 中 是 否 
存在 组 播 组 成 员 。 由 于 该 报 文 得 询 的 是 所 有 组 播 组 ， 因 此 也 被 称 为 普 近 组 查询 报 文 。 各 
规 碍 询 报 文 的 目的 卫 地 址 为 224.0.0.1。 

。 特定 组 查询 : 运行 IGMPv2 的 主机 在 离开 其 所 加 入 的 组 播 组 时 ， 会 主动 发 送 一 个 
IGMPv2 离 组 报 文 ， 用 于 宣告 目 己 离 开 组 播 组 ， 当 网 络 中 的 查询 器 收 到 这 个 离 组 报 文 后 ， 
需要 确认 该 组 播 组 中 是 否 存在 其 他 成 员 ， 此 时 该 查询 器 便 会 发 送 特定 组 查询 报 文 ， 该 报 
文 只 针对 特定 的 组 播 组 进行 查询 , 报 文 的 目的 IP 地 址 为 其 所 查询 的 组 播 组 地 址 ,而 且 报 
文 载 何 中 的 “组 地 址 ”字段 也 记录 了 这 个 组 播 组 地 址 。 

2. 成 员 关 系 报告 (Membership Report ) 

当主 机 加 入 组 播 组 时 ， 或 者 当 其 收 到 查询 器 发 送 的 常规 查询 报 文 时 ， 主 机 将 发 送 成 
员 关 系 报告 报 文 , 该 报 文 的 目的 IP 地 址 是 主机 所 加 入 的 组 播 组 地 址 ， 而 且 报 文 载荷 中 的 
“组 地 址 ”字段 也 记录 了 该 组 播 组 地 址 。 

3. 离 组 (Leave Group ) 

IGMPv2 在 IGMPv1 的 基础 上 增加 了 离 组 报 文 ， 当 主机 离开 其 所 加 入 的 组 播 组 时 ， 
便 会 主动 发 送 离 组 报 文 。 离 组 报 文 的 目的 卫 地 址 为 224.0.0.2， 报 文 载荷 中 的 “组 地 址 ” 
字段 记录 了 主机 所 要 离开 的 组 播 组 地 址 。 

4. 版 本 1 成 员 关 系 报告 (Versionl Membership Report ) 

该 报 文 用 于 兼容 IGMPv1。 

图 12-14 显示 了 IGMPv2 的 报 文 格式 ， 留 意 到 在 IGMPv1 报 文中 未 被 使 用 的 8bit， 
在 IGMPv2 中 被 重新 定义 了 。 


版 本 “| 类 型 最 大 响应 时 间 


图 12-14 IGMPv2 报 文 格式 


各 字段 的 含义 如 下 。 

e 类 型 (Type): 对 于 成 员 关 系 查 询 报 文 ， 该 字段 的 值 为 0x11; 对 于 成 员 关 系 报 告 
(IGMPv2) 报 文 ， 该 字段 值 为 0x16; 对 于 离 组 报 文 ， 该 字段 值 为 0x17; 对 于 版 本 1 成 员 
关系 报告 报 文 ， 该 字段 值 为 0x12。 
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。 校 验 和 【Checksum): 校 验 和 。 

。 最 大 响应 时 间 (Max Response Time): 该 字段 指 的 是 主机 使 用 成 员 关 系 报告 来 啊 
应 该 成 员 关 系 查 询 报 文 的 最 长 等 待 时 间 。 该 字段 只 在 成 员 关 系 查 询 报 文中 被 设置 ， 在 其 
他 IGMPv2 报 文中 被 设置 为 0。 

。 组 地 址 (Group Address): 对 于 常规 查询 报 文 ， 该 字段 值 被 设置 为 0.0.0.0; 对 于 
特定 组 查询 报 文 ， 该 字段 值 被 设置 为 所 查询 的 特定 组 播 组 的 IP 地址 。 对 于 离 组 报 文 ， 该 
字段 的 值 被 设置 为 主机 离开 的 组 播 组 的 IP 地 址 。 


12.3.2 ”IGMPv2 查询 及 响应 


IGMPv2 的 查询 与 啊 应 机 制 与 IGMPv1 大 体 相同 。 具 体 的 操作 过 程 不 下 著述 ，12.3.2 
节 主 要 讨论 的 是 IGMPv2 的 不 同 点 。 首 先 ，IGMPv2 定义 了 协议 自己 的 查询 器 选举 机 制 ， 
而 不 再 像 IGMPv1 那样 ， 需 要 依赖 组 播 路 由 协议 进行 查询 器 的 选举 。 关 于 IGMPv2 的 查 
询 器 选举 机 制 ， 我 们 将 在 12.3.4 节 中 介绍 。 

另外 ， 在 IGMPv1 中 ， 我 们 已 经 探讨 了 成 员 关 系 报告 的 抑制 机 制 ， 这 个 机 制 的 存在 
减少 了 网 络 中 多 余 的 IGMP 流量 。IGMPv2 的 成 员 关 系 报告 抑制 机 制 与 IGMPv1 有 一 点 
细微 的 差异 。IGMPv2 增加 了 最 大 啊 应 时 间 (Max Response Time) 参数 ， 这 是 一 个 可 配 
置 的 值 ， 通 过 该 值 ， 可 以 调节 组 成 员 响 应 查询 的 速度 。 查 询 器 发 送 的 IGMPv2 常规 查询 
报 文 中 所 携带 的 最 大 啊 应 时 间 缺 省 为 10 秒 (可 在 接口 视图 下 , 使 用 igmp max-response- 
time 命令 修改 该 时 间 值 )， 当 主机 收 到 该 报 文 时 ， 会 读 取 该 报 文中 的 “最 大 响应 时 间 ?” 
字段 的 值 ， 并 启动 一 个 报告 延迟 计时 器 ， 该 计时 器 的 时 间 被 设置 为 一 个 随机 数 ， 取 值 范 
围 是 0 一 最 大 响应 时 间 。 当 该 计时 器 超时 的 时 候 ， 主 机 便 立 即 发 送 成 员 关 系 报告 ， 当 然 ， 
如 果 在 此 之 前 ， 主 机 收 到 了 同一 个 组 播 组 内 的 其 他 成 员 发 送 的 成 员 关 系 报告 ， 则 会 抑制 
自己 的 报告 。 


12.3.3”IGMPv2 组 成 员 离 开 


IGMPv2 定义 了 组 播 组 成 员 的 离开 机 制 。 与 IGMPv1 组 成 员 的 默默 离开 不 同 ， 在 
IGMPv2 中 ， 组 成 员 离 开 组 播 组 时 ， 会 主动 发 送 IGMPv2 离 组 报 文 。 在 图 12-15 中 ， 我 
们 首先 了 解 PC1 离开 组 播 组 239.1.1.1 时 的 情况 。 

(1) PC1 离开 组 播 组 239.1.1.1， 它 将 发 送 一 个 IGMPYv2 离 组 报 文 ， 该 报 文 的 目的 全 
地 址 是 224.0.0.2( 所 有 路 由 器 组 播 地 址 ), 报 文中 的 “组 地 址 ”学 段 的 值 被 设置 为 239.1.1.1。 

(2) R1 收 到 了 这 个 离 组 报 文 后 ,得 知 有 组 成 员 要 离开 组 播 组 239.1.1.1,， 于 是 它 立即 
针对 该 组 发 送 IGMPv2 特定 组 查询 报 文 ， 以 确认 该 组 播 组 中 是 否 还 有 其 他 成 员 。 如 果 在 
很 短 的 时 间 内 没有 主机 回应 该 查询 ， 则 RI1 将 再 次 发 送 一 个 IGMPv2 特定 组 查询 报 文 。 


om Rl1 缺 省 以 1 秒 为 间隔 发 送 特定 组 查询 报 文 ， 一 共 发 送 2 次 (发送 时 间 间 隔 及 发 
送 次 数 均 是 可 配置 的 )。 

值得 一 提 的 是 ， 为 了 让 可 能 存在 的 组 成 员 尽 快 啊 应 该 特定 组 查询 报 文 ， 路 由 器 将 该 
报 文中 的 最 大 啊 应 时 间 设 置 成 上 文 提 及 的 发 送 间隔 时 间 〈 缺 省 为 1 秒 )。 
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PC1 PC2 PC3 
192.168.1.1 192.168.1.2 192.168.1.3 
组 239.1.1.1 成 员 组 239.1.12 成 员 组 239.1.1.1 成 员 


图 12-15 IGMPv2 组 成 员 离开 


(3) PC3 收 到 了 R1 发 送 的 IGMPv2 特定 组 查询 报 文 后 ， 它 发 现 R1 正在 查询 的 就 是 
自己 所 加 入 的 组 播 组 ， 因 此 它 立 即 发 送 一 个 IGMPv2 组 成 员 关 系 报告 报 文 用 于 通告 自己 
的 存在 。 

(4) R1 收 到 了 PC3 发 送 的 组 成 员 关 系 报 告 后 ， 便 知道 了 组 播 组 239.1.1.1 中 还 存在 看 
其 他 成 员 , 因此 它 将 继续 维护 该 组 的 成 员 关 系 , 并 继续 向 该 网 段 转发 239.1.1.1 的 组 播 流 量 。 

再 来 看 看 PC2 离开 组 播 组 239.1.1.2 时 的 情况 。 

(1) PC2 发 送 一 个 IGMPv2 离 组 报 文 。 | 

(2) Rl1 收 到 了 这 个 离 组 报 文 后 ， 得 知 有 组 成 员 要 离开 组 播 组 239.1.1.2， 于 是 它 立 即 
针对 该 组 发 送 IGMPv2 特定 组 查询 报 文 。 

(3) 由 于 组 播 组 239.1.1.2 中 已 经 没有 其 他 组 员 了 ， 因 此 不 会 有 任何 PC 对 Rl 发 送 
的 特定 组 查询 报 文 进行 回应 ， 在 一 段 时 间 后 ，R1 将 认为 该 网 段 中 组 播 组 239.1.1.2 已 经 
不 存在 任何 成 员 了 ， 因 此 它 将 不 再 同 该 网 段 转发 239.1.1.2 的 组 播 流 量 。 


12.3.4 IGMPv2 查询 器 


如 果 一 个 网 段 中 存在 多 台 最 后 一 跳 路 由 器 ， 这 些 路 由 器 都 在 其 接 入 该 网 段 的 接口 上 
激活 IGMP， 并 且 都 向 该 网 段 发 送 查 询 报 文 ， 那 就 显得 非常 多 余 ， 这 种 情况 下 IGMP 会 
在 这 些 路 由 器 (的 接口 ) 中 选举 出 一 台 查 询 器 (Querier)， 由 查询 器 负责 在 这 个 网 段 中 
执行 查询 操作 。IGMPv1 没有 定义 查询 器 的 选举 机 制 ， 而 IGMPv2 则 定义 了 查询 器 的 选 
举 机 制 : 接口 IP 地 址 最 小 的 路 由 器 成 为 该 网 段 的 IGMPv2 查询 器 , 它 将 负责 向 这 个 网 段 
执行 查询 操作 。 

在 图 12-16 中 ，R1 及 R2 都 是 最 后 一 跳 路 由 器 ， 两 者 都 在 各 目的 GE0/0/1 接口 上 激 
活 了 1IGMPv2。 在 初始 情况 下 ,双方 都 认为 目 己 是 GE0/0/1 接口 所 直 连 的 网 段 的 IGMPv2 
查询 器 ， 因 此 都 问 该 网 段 发 送 IGMPvV2 常规 查询 报 文 。R1 及 R2 都 会 收 到 对 方 发 送 的 
常规 查询 报 文 ， 它 们 将 报 文 的 源 他 地 址 与 自己 的 接口 PP 地 址 进行 比较 ， 由 于 R1 的 接 
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口 IP 地 址 更 小 ， 因 此 在 本 例 中 R1 胜出 
成 为 租 询 右 ， 而 R2 则 是 非得 询 右 〈Non- 
Querier)。R1 的 GE0/0/1 接口 继续 周期 性 FF | 
地 发 送 常规 查询 报 文 , 而 R2 则 停止 发 送 。 | Source 
非 查询 器 会 为 当前 的 查询 器 启动 一 
个 其 他 得 询 堪 存活 计时 露 (Other Querier 
Present Timer), 该 计时 器 的 时 间 缺 省 为 125 ”时 浸 oe 
秒 ， 可 在 接口 配置 视图 下 使 用 igmp timer oe LS 1 
other-querier-present 命令 修改 。 每 次 收 
到 碍 询 器 发 送 的 查询 报 文 时 , 该 计时 器 将 
被 重 置 。 而 如 果 长 时 间 没 有 收 到 查询 器 发 
送 的 碍 询 报 文 并 导致 该 计时 器 超时 , 那么 / 曙 - 二 | 局- 
非 查询 器 将 认为 当前 的 查询 器 已 经 发 生 ce ri wi 








故障 , 此 时 新 一 轮 查询 器 的 选举 过 程 将 被 ”组 239.1.1.1 成 员 ”组 239.1.1.2 成 员 组 239.1.1.1 成 员 
触发 。 图 12-16 IGMPv2 查询 器 


12.3.5 “案例 1: IGMPv2 基础 配置 


在 图 12-17 中 ， 我 们 将 在 R1 及 R2 的 GE0/0/1 接口 上 激活 IGMPv2。 在 本 案例 中 暂 
时 忽略 组 播 路 由 协议 的 配置 。 


GEO/O/1 
192.108.1.252/24 


PC1 PC2 PC3 
192.168.1.1/24 192.168.1.2/24 192.168.1.3/24 
组 239.1.1.1 成员 ”组 239.1.1.2 成 员 组 239.1.1.1 成 员 


12-17 IGMPv2 基础 配置 


R1 的 配置 如 下 : 


[Ri]multicast routing-enable 

[R1linterface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]ip address 192.168.1.252 24 
[Rl1-GigabitEthernet0/0/1ligmp enable 
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[Rl1-GigabitEthernet0/0/1]jigmp version 2 

R2 的 配置 如 下 : 

[R21]multicast routing-enable 

[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]ip address 192.168.1.253 24 
[R2-GigabitEthernet0/0/1ligmp enable 
[R2-GigabitEthernet0/0/1 jigmp version 2 


在 网 络 设备 上 进行 IGMP 的 配置 之 前 , 需要 先 在 设备 上 激活 IP 组 播 路 由 功能 , 在 系 
re multicast routing-enable 命令 可 激活 设备 的 IP 组 播 路 由 功能 ,接口 视图 下 
的 命令 igmp enable 用 于 在 该 接口 激活 IGMP， 缺 省 时 该 命令 激活 的 IGMP 版 本 是 
oh 使 用 igmp version 命令 能 够 修改 IGMP 的 版 本 。 

完成 上 述 配置 后 ， 在 初始 情况 下 ，R1 及 R2 都 会 从 GE0/0/1 接口 发 送 IGMPv2 常规 
香 询 报 文 ， 当 R2 收 到 R1 所 发 送 的 查询 报 文 后 ， 发 现 报 文 的 源 也 地址 为 192.168.1.252， 
比 自己 的 接口 IP 地 址 更 小 ， 它 意识 到 RI1 才 是 该 网 段 的 得 询 器 ， 因 此 它 将 不 再 发 送 查 询 
报 文 。 

使 用 display igmp interface 命令 可 以 查看 设备 激活 了 IGMP 的 接口 及 其 状态 ， 例 如 
在 R1 上 查看 IGMP 接口 状态 : 


<R1>display igmp interface 
Interface information of VPN-Instance: public net 
GigabitEthernet0/0/1(192.168.1.252): 

IGMP is enabled 
Current IGMP version is 2 
IGMP state: up 
IGMP group policy: none 
IGMP limit: - 
Value of query interval for IGMP (negotiated): - 
Value of query interval for IGMP (configured): 60 s 
Value of other querier timeout for IGMP: 0 s 
Value of maximum query response time for IGMP: 10s 
Querier for IGMP: 192.168.1.252 (this router) 


从 以 上 输出 中 的 “Querier for IGMP: 192.168.1.252 (this router)” 可 以 判断 出 该 设备 
是 其 GE0/0/1 接口 所 连接 的 网 段 中 的 查询 右 。 
在 R2 上 查看 IGMP 接口 状态 : 
[R2]display igmp interface 
Interface information of VPN-Instance: public net 
GigabitEthernet0/0/1(192.168.1.253): 
IGMP is enabjed “一 
Current IGMP version is 2 
IGMP state: up 
IGMP group policy: none 
IGMP limit: - 
Value of query interval for IGMP (negotiated): - 
Value of query interval for IGMP (configured): 60 s 
Value of other querier timeout for IGMP: 91 s 
Value of maximum query response time forIGMP: 10s 
Querier for IGMP: 192.168.1.252 


从 以 上 输出 可 以 看 出 ，R2 已 经 接受 了 192.168.1.252 作为 IGMPv2 查询 器 的 事实 ， 并 且 
为 该 查询 器 设置 了 其 他 查询 器 存活 计时 器 ， 该 计时 器 从 125 秒 开始 倒计时 ， 每 次 收 到 R1 发 
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送 的 查询 报 文 时 计时 器 重 置 到 125 秒 并 重新 开始 倒计时 。 如 果 此 时 R1 发 生 故障 ， 那 么 由 于 
一 直 未 收 到 R1 发 出 的 查询 报 文 , 该 计时 器 将 会 超时 , 此 时 R2 将 接替 R1, 成 为 新 的 查询 器 。 
接 下 来 观察 一 下 IGMPv2 的 加 组 过 程 。 假 设 PC1 率先 加 入 组 播 组 239.1.1.1， 那 么 它 
将 发 送 一 个 IGMPv2 成 员 关 系 报告 报 文 ， 这 个 报 文 将 被 交换 机 进行 泛 洪 ，R1 及 R2 都 会 
收 到 该 报 文 。 由 于 PC1 是 组 播 组 239.1.1.1 的 第 一 个 成 员 ， 因 此 R1 及 R2 会 为 该 组 播 组 
创建 一 个 IGMP 组 表 项 。 
首先 来 看 看 R1 的 IGMP 组 表 : 


<R1>display igmp group 
Interface group report information of VPN-Instance: public net 
GigabitEthernet0/0/1(192.168.1.252): 
Total 1 IGMP Group reported \ oo 
Group Address Last Reporter Uptime Expires 
wa ll 92.168.1.1 00:27:18 00:01:51 


从 上 述 输 出 可 以 看 到 ，R1 为 组 播 组 239.1.1.1 创建 了 一 个 IGMP 组 表 项 ， 在 该 表 项 
中 ,最近 发 送 成 员 关 系 报告 的 组 成 员 是 192.168.1.1，Uptime 列 显 示 了 该 表 项 已 经 存在 的 
时 间 ，Expires 列 则 显示 了 该 表 项 超时 的 时 间 ， 这 个 时 间 缺 省 从 2 分 10 秒 (也 即 130 秒 ) 
开始 倒计时 ， 当 该 时 间 达 到 0 时 ， 表 项 会 被 删除 ， 当 然 如 果 在 此 之 前 收 到 该 组 播 组 内 任 
意 一 个 成 员 的 成 员 关 系 报告 ， 则 该 时 间 将 被 刷新 。 

在 R2 上 执行 display igmp group 命令 可 以 查看 到 类 似 的 数据 ，R2 维护 相关 数据 的 
目的 是 为 了 当 RI1 发 生 故 障 时 ， 它 能 够 平滑 地 接 蔡 前 者 的 IGMP 查询 及 组 成 员 管 理工 作 。 

当 PC2 加 入 组 播 组 239.1.1.2 时 ， 它 将 发 送 IGMPv2 成 员 关 系 报 告 ， 此 时 可 以 在 R1 
及 R2 上 看 到 IGMP 组 表 项 的 变化 ， 以 R1 为 例 : 


<R1>display igmp group 
Interface group report information of VPN-Instance: Po net 
GigabitEthernet0/0/1(192.168.1.252): 


Total 2 IGMP Groups reported 
Group Address LastReporter Uptime Expires 
WU .192058.11 00:40:48 00:01:21 
本本 192.168.1.2 00:01:42 00:01:21 


而 当 PC3 加 入 组 播 组 239.1.1.1 时 ， 它 也 会 发 送 IGMPv2 成 员 关 系 报告 ， 此 时 由 于 
Rl1 及 R2 的 IGMP 组 表 中 已 经 存在 239.1.1.1 的 表 项 ， 因 此 它 们 仅仅 修改 该 表 项 的 Last 
Reporter， 将 其 变更 为 PC3 的 IP 地 址 192.168.1.3， 并 刷新 该 表 项 的 超时 时 间 : 


<R1l>display igmp group 
Interface group report information of VPN-Instance: public net 
GigabitEthernet0/0/1(192.168.1.252): 


Total 2 IGMP Groups reported 
Group Address Last Reporter Uptime Expires 
239.1.1.1 192.168.1.3 00:43:15 00:02:06 
pdt lh Wh Wy 192.168.1.2 00:04:09 00:01:54 


在 某 些 场景 下 ， 我 们 可 和 需要 在 设备 的 接口 上 限制 主机 能 够 加 入 的 组 播 组 范围 。 例 
如 在 本 例 中 ,假设 组 播 组 239.1.1.1、239.1.1.2 及 239.1.1.3 被 认为 是 合法 的 组 播 组 ， 我 们 
希望 PC 只 能 加 入 这 三 个 组 播 组 并 接收 发 往 这 些 组 播 组 的 流量 , 除 此 之 外 , 不 允许 PC 加 
入 其 他 组 播 组， 那么 可 以 在 Rl1 上 增加 如 下 配置 ; 


[R1]acl 2000 
[Rl-acl-basic-2000]rule permit source 239,1.1.1 0 
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[Rl-acl-basic-2000]rule permit source 239.1.1.20 
[Rl-acl-basic-2000jrule permit source 239.1.1.3 0 
[R1-acl-basic-2000]rule deny 


[Rl1linterface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]igmp group-policy 2000 


同样 ， 在 R2 上 也 增加 如 下 配置 : 


[R2]acl 2000 

[R2-acl-basic-2000]jrule permit source 239.1.1.1 0 
[R2-acl-basic-2000jrule permit source 239.1.1.2 0 
[R2-acl-basic-2000]rule permit source 239.1.1.3 0 
[R2-acl-basic-2000]rule deny 


[R2]interface GigabitEthernet 0/0/1 

[R2-GigabitEthemet0/0/1]igmp group-policy 2000 

完成 上 述 配 置 后 ， 如 果 一 台新 的 PC 接 入 到 交换 机 上 ， 并 宣称 加 入 组 播 组 239.1.1.4， 
那么 由 于 R1 及 R2 都 配置 了 igmp group-policy， 而 组 播 组 IP 地 址 239.1.1.4 并 没有 被 


ACL2000 允许， 因此 R1 及 R2 将 忽略 该 PC 发 送 的 成 员 关 系 报告 。 
12.3.6 ”案例 2: 配置 静态 组 播 组 


考虑 这 样 一 种 场景 : 组 播 路 由 器 的 某 个 接口 连接 着 一个 终端 网 络 ， 在 该 网 络 中 存在 
趟 组 播 组 的 。 稳定 的 组 成 吕 ， 如 果 我 们 希望 组 揪 路 由 器 能 六 持续 二 转 盆 该 组 播 组 的 流 
量 到 这 个 接口 ， 那 么 号 可 以 在 路 由 堪 上 进行 静态 组 播 组 的 配置 

在 路 由 器 上 配置 静态 组 播 组 还 能 解决 接口 所 连接 的 终端 无 法 通过 IGMP 成 员 关 系 报 
告 宣布 加 组 但 是 又 需要 接收 组 播 流 量 的 问题 。 

在 路 由 器 上 ， 带 态 组 播 组 的 配置 如 下 : 

[Routerjmulticast routing-enable 

[Routerjinterface GigabitEthernet 0/0/2 

[Router-GigabitEthermet0/0/2]igmp enable 

[Router-GigabitEthernet0/0/2]Jigmp static-group 239.1.1.10 


在 以 上 配置 中 , igmp static-group 239.1.1.10 命令 用 于 在 Router 的 GE0/0/2 接口 添加 
一 个 静态 的 IGMP 组 表 项 ， 而 且 这 个 表 项 将 永远 不 会 被 老化 。 
完成 上 述 配 置 后 , 使 用 display igmp group static 命令 可 以 查看 设备 的 IGMP 静态 组 
播 组 : 
[Routerjdisplay igmp group static 
Static join group information of WINE public net 
Total 1 entry, Total 1 active entry 


Group Address “Source Address Interface ng Expires 
239.1.1.10 0.0.0.0 GE0/0/2 never 


在 igmp static-group 239.1.1.10 命令 中 还 可 | 以 增加 其 他 关键 字 ， 例 如 增加 source 天 
键 字 ， 则 可 以 指定 组 播 源 ， 如 果 在 设备 上 进行 如 下 配置 ; 

[Router-GigabitEthernetO/0/2jigmp static-group 239.1.1.10 source 10.10.10.1 

那么 Router 将 会 把 组 播 源 10.10.10.1 发 往 组 播 组 239.1.1.10 的 流量 都 转发 到 GE0/0/2 
接口 。 此 时 Router 的 IGMP 静态 组 表 项 如 下 : 

<Router>display igmp group static 

Static join group information of VPN-Instance: public net 

Total 2 entries, Total 2 active entries 
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Group Address Source Address Interface State Expires 
239.1.1.10 10.10.10.1 GE0/0/2 Up never 
12.4 IGMPv3 


IGMPv3 在 IGMPv2 的 基础 上 主要 增加 了 组 播 接收 者 对 组 播 源 的 过 滤 功 能 ， 人 简单 地 
说 就 是 主机 可 以 通过 IGMPv3 宣告 自己 期 望 加 入 的 组 播 组 , 并 限定 或 过 滤 特 定 的 组 播 源 。 

ASM (Any-Source Multicast， 任 意 源 组 播 ) 及 SSM (Source-Specific Multicast， 特 
定 源 组 播 ) 是 两 种 不 同 的 组 播 服 务 模型 ， 它 们 之 间 的 差异 主要 在 于 组 播 接收 者 对 于 组 播 
源 的 选择 能 力 。 

。 在 ASM 中 ， 任 意 的 设备 都 可 以 成 为 组 播 源 并 问 网 络 中 发 送 组 播 流量 ， 对 于 接收 
者 而 言 ， 它 们 事先 并 不 知晓 组 播 源 的 地 址 ， 只 要 它们 加 入 了 组 播 组 ， 当 任意 的 源 向 该 组 
播 组 发 送 组 播 流 量 时 ， 接 收 者 即 会 收 到 这 些 流量 ， 接 收 者 无 法 对 组 播 源 进行 选择 。 
IGMPv1、IGMPv2 及 IGMPv3 都 支持 ASM。 

。 在 SSM 中 ， 组 播 接 收 者 加 入 组 播 组 时 ， 可 指定 接收 或 者 拒绝 特定 组 播 源 发 往 某 
个 组 播 组 的 流量 ， 特 定 源 组 播 因 此 得 名 。 当 然 ， 对 于 SSM 而 言 ， 组 播 接收 者 要 求 事先 知 
道 组 播 源 的 地 址 。IGMPv3 是 SSM 的 重要 组 件 之 一 ， 而 IGMPv1 及 IGMPv2 则 需 借助 其 
他 手段 才能 够 在 SSM 中 应 用 。 关 于 SSM， 本 书 将 在 “SSM” 一 节 中 介绍 。 

IGMPv3 能 够 兼容 IGMPv1 及 IGMPv2。 


12.4.1 报 文 类 型 


IGMPv3 定义 了 两 种 类 型 的 协议 报 文 (除去 用 于 兼容 IGMPv1 及 IGMPv2 的 几 种 
报 文 )。 

1]. 成 员 关 系 查 询 ( Membership Query ) 

图 12-18 显示 了 IGMPv3 成 员 关 系 查 询 报 文 格式 ， 其 中 各 个 字段 的 含义 如 下 。 

。 类 型 (Type): 对 于 IGMPv3 成 员 关 系 查 询 报 文 ， 该 字段 的 值 为 0x11。 

e 校 验 和 “Checksum): 校 验 和 。 

。 最 大 响应 时 间 〈Max Response Time): 主机 使 用 IGMPv3 成 员 关 系 报告 来 啊 应 该 
成 员 关 系 查 询 报 文 的 最 长 等 待 时 间 。 

。 组 地 址 (Group Address): 对 于 和 常规 查询 报 文 ， 该 字段 值 被 设置 为 0.0.0.0; 对 于 
特定 组 查询 报 文 及 特定 组 / 源 查询 报 文 ， 该 字段 值 被 设置 为 所 查询 的 特定 组 播 组 的 地 址 。 

。S (Suppress Router-Side Processing， 抑 制 路 由 器 侧 处 理 ) 标志 位 : 这 是 一 个 特 
殊 的 标志 位 ， 其 值 为 1 或 0 时 具有 不 同 的 功能 。 关 于 该 标志 位 的 介绍 超出 了 本 书 的 范围 。 

。QRV (Querier’”s Robustness Variable， 查 询 器 健壮 系数 ): 健壮 系数 是 一 个 变量 ， 
这 个 变量 将 影响 组 成 员 关 系 的 超时 时 间 等 。IGMPv3 查询 器 在 自己 发 送 的 查询 报 文中 设 
置 QRV， 缺 省 时 ，QRV 被 设置 为 2。 

。 QQIC (Querier’s Query Interval Code， 查 询 器 查询 间隔 ): IGMPv3 查询 器 发 送 
季 规 碍 询 的 时 间 间 隅 ， 缺 省 时 该 值 为 60 秒 。 
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。 组 播 源 个 数 (Number of Sources): 该 查询 报 文中 所 包含 的 组 播 源 个 数 。 在 常规 
查询 报 文 或 特定 组 查询 报 文 中 ， 该 字段 的 值 为 0， 此 时 该 报 文 将 不 包含 任何 组 播 源 地 址 
信息 。 而 在 特定 组 / 源 查询 报 文中 ， 该 字段 的 值 为 非 0， 此 时 该 报 文 所 包含 的 组 播 源 地 址 
个 数 取决 于 本 字段 。 

e 组 播 源 地 址 (Source Address): 组 播 源 地 址 。 


mh 
Bt QQIC (8bit) 组 播 源 个 数 (16bit) 

组 播 源 地 址 (32bit) 

组 播 源 地 址 (32bit) 


图 12-18 IGMPv3 成 员 关 系 但 询 报 文 格式 


IGMPv3 成 员 关 系 查 询 报 文 共 包 含 如 下 三 种 类 型 ，RFC3376 详细 地 摘 述 了 这 些 报 文 
及 其 功能 。 

。 常规 查询 (General Query): IGMPv3 查询 器 周期 性 地 发 送 常 规 查询 报 文 ， 对 网 
络 中 的 所 有 组 播 组 进行 查询 ， 以 便 维护 组 成 员 关 系 。 由 于 该 报 文 被 用 于 查询 任意 的 组 播 
组 中 是 否 存在 成 员 ， 因 此 也 被 称 为 普遍 组 查询 报 文 。 在 IGMPv3 常规 查询 报 文中 ,“ 组 地 
址 ”字段 的 值 为 0.0.0.0， 另 外 “组 播 源 个 数 ” 字 段 的 值 也 为 0。 

。 特定 组 查询 (Group-Specific Query): 特定 组 查询 报 文 只 针对 特定 的 组 播 组 进行 
查询 。 在 该 报 文 中 ,“ 组 地 址 ”字段 的 值 为 该 组 播 组 的 地 址 ， 另 外 “组 播 源 个 数 ” 字 段 的 
值 也 为 0。 

e。 特定 组 / 源 查 询 (Group-and-Source-Specific Query): 特定 组 / 源 查询 报 文 用 于 碍 
询 网 络 中 是 否 存在 期 望 接收 特定 组 播 源 发 往 特定 组 播 组 的 流量 的 组 成 员 。 在 该 报 文中 ， 
“组 地 址 ”字段 的 值 为 该 组 播 组 的 地 址 ， 另 外 ,“ 组 播 源 个 数 ” 字 段 填 充 的 是 报 文 所 包含 
的 组 播 源 地 址 个 数 ， 而 “组 播 源 地 址 ”字段 则 填充 的 是 报 文 所 查询 的 组 播 源 。 

2. 成 员 关 系 报告 ( Membership Report ) 

当主 机 加 入 组 播 组 时 ， 或 者 当 其 收 到 路 由 器 发 送 的 成 员 关 系 查 询 报 文 时 ， 主 机 将 发 
送 成 员 关 系 报告 报 文 ， 该 报 文 的 目的 IP 地 址 是 224.0.0.22， 这 是 IANA 分 配给 IGMP 协 
议 的 组 播 地 址 。IGMPv3 中 没有 专门 定义 离 组 报 文 , IGMPv3 组 成 员 离 开 组 播 组 时 ， 使 用 
特殊 的 成 员 关 系 报告 报 文宣 告 自己 离开 ， 具 体 的 操作 将 在 12.4.3 节 中 介绍 。 图 12-19 展 
示 了 IGMPv3 成 员 关 系 报告 报 文 的 格式 。 

在 IGMPv1 或 者 IGMPv2 中 ， 组 成 员 只 能 使 用 成 员 关 系 报告 报 文宣 告 自己 期 望 加 入 
的 组 播 组 ， 而 无 法 对 组 播 源 进行 指定 。IGMPv3 增加 了 组 成 员 对 组 播 源 的 过 滤 模 式 ， 
此 组 成 员 不 仅 能 够 宣告 自己 期 望 加 入 的 组 播 组 ， 还 能 够 对 组 播 源 进行 指定 ， 例 如 通过 
IGMPv3 成 员 关 系 报告 宣告 自己 只 接收 从 源 S1 及 S2 发 往 组 播 组 G1 的 组 播 流量 ， 也 可 
宣告 自己 只 接收 除了 S3 及 S4 之 外 的 其 他 源 发 往 组 播 组 G2 的 组 播 流 量 。 
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组 记录 


图 12-19 IGMPv3 成 员 关 系 报告 报 文 格式 


各 字段 的 含义 如 下 。 

。 类 型 (Type): 对 于 IGMPv3 成 员 关 系 报告 报 文 ， 该 字段 的 值 为 0x22。 

e 校 验 和 (Checksum): 校 验 和 。 

e。 组 记录 个 数 (Number of Group Records): 该 IGMPv3 成 员 关 系 报 告 报 文中 所 包 
含 的 组 记录 的 个 数 。 

。 组 记录 (Group Record): 每 个 组 记录 实际 上 包含 了 多 个 字段 ， 一 个 IGMPv3 成 
员 关 系 报 告 可 能 包含 多 个 组 记录 。 图 12-20 展示 了 组 记录 的 格式 。 


记录 类 型 (8bit) 组 播 源 个 数 (16bit) 
组 播 地 址 (32bit) 
组 播 源 地 址 (32bit) 


图 12-20 组 记录 的 格式 


组 记录 中 ， 各 字段 的 含义 如 下 。 

。 记录 类 型 (Record Type): 指示 该 组 记录 的 类 型 。IGMPv3 定义 了 6 种 组 记录 类 
型 ， 分 别 用 于 不 同 的 用 途 。 关 于 这 些 记录 类 型 ， 将 在 下 文 介 绍 。 

e 附加 数据 长 度 (Auxiliary Data Length): 指示 本 报 文中 “附加 数据 ”字段 的 长 度 ， 
一 般 而 言 ， 该 字段 的 值 为 0， 因此 通常 IGMPv3 成 员 关 系 报 告 报 文 不 包含 附加 数据 。 

。 组 播 源 个 数 (Number of Sources): 指示 报 文中 所 包含 的 组 播 源 的 个 数 。 

。 组 播 地 址 (Multicast Address): 组 播 组 地 址 。 

e。 组 播 源 地 址 (Source Address): 组 播 源 地 址 。 

在 IGMPv3 中 ， 组 成 员 使 用 IGMPv3 成 员 关 系 报告 报 文宣 告 自己 所 加 入 的 组 播 组 ， 
以 及 该 组 播 组 的 源 过 滤 模 式 。IGMPv3 定义 了 Include (包含 ) 及 Exclude (排除) 两 种 
过 滤 模 式 。 组 成 员 可 以 使 用 成 员 关系 报告 宣告 自己 只 希望 接收 特定 源 发 往 某 个 组 播 组 的 
流量 (过 滤 模 式 为 Include)， 也 可 以 宣告 自己 只 希望 接收 除了 特定 源 之 外 的 其 他 源 发 往 
某 个 组 播 组 的 流量 〈 过 滤 模 式 为 Exclude)。 当 然 ， 该 组 成 员 也 可 以 在 事后 对 此 前 宣告 
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过 滤 模 式 进 行 变更 。IGMPv3 在 成 员 关 系 报告 中 定义 了 组 记录 ， 用 于 承载 这 些 信息 。 
表 12-2 展示 了 IGMPv3 的 6 种 组 记录 类 型 。 
表 12-2 IGMPv3 组 记录 类 型 
a ET 
用 于 对 成 员 关 系 查 询 进 | Mode Is Include 
行 回 应 ， 并 宣告 当前 状态 | Mode Is Exclude 
过 滤 模 式 改变 记录 (Filter-Mode-Change | 用 于 宣告 过 滤 模 式 发 生 | Change_Io_Include Mode 
Record ) 变化 Change To Exclude Mode 
ae 改变 记录 (Source-List-Change 用 于 宣告 源 列表 发 生变 化 人 
这 六 种 组 记录 类 型 的 含义 如 下 。 
。 Mode Is Include: 表示 过 滤 模 式 为 Include， 也 就 是 说 该 组 成 员 期 望 只 接收 该 组 
记录 中 的 组 播 源 〈 组 播 源 可 能 有 多 个 ， 下 文 不 再 特别 说 明 ) 发 往 特定 组 播 组 的 流量 。 
。 Mode Is Exclude: 表示 过 滤 模 式 为 Exclude， 也 就 是 说 该 组 成 员 期 望 接 收 除 了 该 
组 记录 中 的 组 播 源 之 外 的 其 他 组 播 源 发 往 特 定 组 播 组 的 流量 。 
。 Change_To_Include_Mode: 表示 过 滤 模 式 由 Exclude 变更 为 Include。 
。 Change_ To_Exclude Mode: 表示 过 渡 模 式 由 Include 变更 为 Exclude。 
。 Allow_New_Sources: 表示 在 当前 的 基础 上 ， 在 组 播 组 中 增加 新 的 被 允许 的 组 
。 Block_Old_ Sources: 表示 在 当前 的 基础 上 ， 在 组 播 组 中 过 滤 指 定 的 组 播 源 。 
12.4.2 IGMPv3 查询 及 响应 


在 图 12-21 中 ，R1 及 R2 的 GE0/0/1 接口 激活 IGMPv3 后 ， 它 们 便 开始 在 接口 上 发 
送 IGMPv3 常规 查询 报 文 ， 查 询 器 选举 
过 程 将 会 被 触发 ，IGMPv3 使 用 与 
IGMPv2 相同 的 查询 器 选举 机 制 ， 因 此 
接口 卫 地 址 更 小 的 Rl 成 为 该 网 段 的 查 
询 器 。 随后 R1 将 周期 性 地 在 GEO0/0/1 10.1.1.1 10.3.3.3 
接口 上 发 送 IGMPv3 常规 查询 报 文 。 
PC1 只 期 望 接收 组 播 源 Sourcel 发 - 
往 组 播 组 239.1.1.3 的 组 播 流量 , 因此 收 iozi6s125224 192.168.1.200004 
到 Ri 发 送 的 IGMPv3 常规 查询 报 文 后 ， 
它 将 使 用 IGMPv3 成 员 关 系 报告 进行 回 
应 (当然 ，PC1 也 可 主动 发 送 成 员 关 系 
报告 )。 在 PC1 发 送 的 成 员 关 系 报告 中 ， 
可 以 包含 一 个 Mode Is Include 类 型 的 PC1 
组 记录 ， 在 该 组 记录 中 ， 组 地 址 为 ”pmsl we 
239.1.1.3， 组 播 源 只 有 一 个 ， 即 10.1.1.1。 232113 的 组 播 流量 
图 12-22 显示 了 PC1 发 送 的 这 个 报 文 。 图 12-21 JIGMPV3 加 组 过 程 





ES 
当前 状态 记录 (Current-State Record ) 
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Internet Protoco1，Src: 192.168.1.1 (192.168.1.1), Dst: 224.0.0.22 (224.0.0.22) 
Internet Group Management Protocol 
[IGMP Version: 3] 
Type: Membership Report (Ox22) 
Header checksum: Oxelf6 [correct] 
Num Group Records: 1 
Group Record : 239.1.1.3 Mode Is Include 
Record Type: Mode Is Include (1) 
AUX Data Len: 0 
Num Src: 1 
Multicast Address: 239.1.1.3 (239.1.1.3) 
Source Address: 10.1.1.1 (10.1.1.1) 


图 12-22 PC1 通过 Mode Is_Include 类 型 的 组 记录 宣告 自己 只 期 望 接收 10.1.1.1 发 往 
239.1.1.3 的 组 播 流 量 
R1 收 到 该 成 员 关 系 报告 后 ， 便 知道 其 GE0/0/1 接口 的 直 连 网 段 中 ， 存 在 组 播 组 
239.1.1.3 的 成 员 ， 并 且 该 成 员 只 接收 组 播 源 10.1.1.1 发 往 该 组 播 组 的 流量 ， 当 它 收 到 这 
些 组 播 流量 时 ， 便 会 将 这 些 流量 从 该 接口 转发 出 去 。 而 如 果 R1 收 到 了 组 播 源 10.2.2.2 
或 10.3.3.3 发 往 239.1.1.3 的 组 播 流 量 , 那么 它 不 会 将 这 些 流量 从 GEO/OV1 接口 转发 出 去 。 


12.4.3 IGMPv3 组 成 员 离 组 


IGMPv3 没有 专门 定义 离 组 报 文 ， 当 组 成 员 想 要 离开 当前 的 组 播 组 时 ， 使 用 特殊 的 
组 记录 来 实现 。 例 如 图 12-21 中 ， 假 设 PC1 已 经 是 组 播 组 239.1.1.3 的 成 员 (PC1 通过 
Mode JIs_Include 类 型 的 组 记录 宣告 自己 只 接收 10.1.1.1 发 往 239.1.1.3 的 组 播 流量 )， 现 
在 它 不 再 期 望 接收 该 组 播 组 的 流量 ， 于 是 它 发 送 一 个 IGMPv3 成 员 关 系 报告 ， 在 该 报告 
中 包含 Change_ To_ Include Mode 类 型 的 组 记录 , 并 且 在 该 组 记录 中 , 组 地 址 为 239.1.1.3、 
组 播 源 为 空 。 图 12-23 展示 了 PC1 所 发 送 的 这 个 IGMPv3 成 员 关 系 报 告 报 文 。 
Internet Protoco1，Src: 192.168.1.1 (192.168.1.1), Dst: 224.0.0.22 (224.0.0.22) 
Internet Group Management Protocol 
[IGMP Version: 3] 
Type: Membership Report (Ox22) 
Header checksum: Oxeaf9 [correct] 
Num Group Records: 1 
SGroup Record : 239.1.1.3 Change To Include Mode 
Record Type: Change To Include Mode (3) 
AUX Data Len: 0 


Num Src: 0 
Multicast Address: 239.1.1.3 (239.1.1.3) 


图 12-23 PCI1 通过 Change_To_Include_Mode 类 型 的 组 记录 宣告 自己 期 望 离开 组 239.1.1.3 

R1 收 到 该 报 文 后 ， 将 立即 启动 特定 组 / 源 查 询 过 程 ， 从 GE0/0/1 接口 发 送 IGMPv3 
特定 组 / 源 查 询 报 文 ， 以 便 确 认 该 网 段 中 是 否 有 其 他 成 员 期 望 接 收 组 播 源 10.1.1.1 发 往 
239.1.1.3 的 组 播 流 量 ， 由 于 当前 网 段 中 没有 其 他 成 员 ， 因 此 很 短 的 一 段 时 间 后 ，R1 将 删 
除 相关 IGMP 组 表 项 ， 不 会 再 问 该 网 段 转 发 相关 组 播 流量 。 


12.4.4 案例 : IGMPv3 基础 配置 


在 图 12-21 中 ，R1 及 R2 使 用 IGMPv3 对 其 直 连 网 段 内 的 组 成 员 进 行 管理 。 接 下 来 
简单 地 看 一 下 IGMPv3 的 基础 配置 。 
R1 的 配置 如 下 : 


[Rljmulticast routing-enable 
[Rilinterface GigabitEthernet 0/0/1 
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[Ri-GigabitEthernet0/O/1]ip address 192.168.1.252 24 
[R1-GigabitEthernetO/O/1]igmp enable 
[Rl-GigabitEthernet0/0/1]igmp version 3 
R2 的 配置 如 下 : 
[R2]jmulticast routing-enable 
[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]ip address 192.168.1.253 24 
[R2-GigabitEthernet0/0/1]igmp enable 
[R2-GigabitEthernet0/0/1]igmp version 3 
在 以 上 配置 中 ，igmp version 3 命令 用 于 将 设备 接口 所 运行 的 IGMP 版 本 指定 为 3。 
完成 上 述 配 置 后 ，R1 及 R2 会 开始 进行 IGMP 查询 器 选举 ， 最 终 R1 的 GE0/0/1 接口 胜 
出 成 为 该 网 段 的 查询 器 。 
<R1>display igmp interface 
Interface information of VPN-Instance: public net 
GigabitEthernet0/0/0(192.168.1.252):; 
IGMP is enabled 
Current IGMP version is 3 
IGMP state: up 
IGMP group policy: none 
IGMP limit: = 
Value of query interval for IGMP (negotiated): 60 S 
Value of query interval for IGMP (configured): 60 s 
Value of other querier timeout for IGMP: 0's 
Value of maximum query response time for IJGMP; 10 8 
Querier for IGMP: 192.168.1.252 (this router) 
Total 1 IGMP Group reported 
当 PC1 发 送 包 含 Mode Is Include 类 型 组 记录 的 成 员 关 系 报告 ， 宣 称 期 望 接 收 
Sourcel 发 往 239.1.1.3 的 组 播 流量 时 ， 我 们 能 够 在 R1 上 观察 到 如 下 表 项 : 


<R1>display igmp group verbose 
Interface group report information of VPN-Instance: public net 
Limited entry of this VPN-Instance: - 
GigabitEthernet0/0/0(192.168,1.252): 
Total entry on this interface; 1 
Limited entry on this interface: - 
Total 1 IGMP Group reported 
Group: 239.1.1.3 
Uptime: 00:07:13 
Expires: off 
Last reporter: 192.168.1.1 
Last-member-query-ceounter: 0 
Last-member-query-timer-expiry: off 
Group mode: include 
Version1-host-present-timer-expiry: Of 
Version2-host-present-timer-expiry: off 
Source list: 
Source: 10.1.1.1 
Uptime: 00:07;13 
Expires: 00:02:03 
Last-member-query-counter: 0 
Last-member-query-timer-expiry: off 


而 如 采 现 在 PC1 出 现 了 变化 ， 它 期 望 接收 除了 Sourcel 之 外 的 其 他 源 发 往 239.1.1.3 
的 组 播 流 量 时 ， 可 以 发 送 一 个 新 的 成 员 关 系 报告 ， 在 该 报告 中 包含 Change To_ 
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Exclude Mode 类 型 的 组 记录 ， 在 该 组 记录 中 ， 组 地 址 为 239.1.1.3， 组 播 源 为 10.1.1.1， 
此 时 Rl 的 IGMP 组 表 项 变更 如 下 : 
<R1>display igmp group verbose 
Interface group report information of VPN-Instance: public net ~. 
Limited entry of this VPN-Instance: - 
GigabitEthernet0/0/0(192.168.1.252): 
Total enitries on this interface: 2 
Limited entry on this interface: - 
Total 1 IGMP Group reported 
Group: 239.1.1.3 
Uptime: 00:08:10 
Expires: 00:02:07 | 
Last reporter: 192.168.1.1 
Last-member-query-counter: 0 
Last-member-query-timer-expiry: off ) Wn 
Group mode: exclude ) 大 主意 过 滤 模 式 变 为 exclude 
， Version1-host-present-timer-expiry; off 
Version2-host-present-timer-expiry: off 
Source list: 
Source: 10.1,1,1 
Uptime: 00:08:10 
Expires: off 
“Last-member-query-counter: 0 
Last-member-query-timer-expiry’; off 


12.5 组 播 路 由 协议 基础 


我 们 已 经 知道 ， 组 播报 文 是 由 组 播 源 产生 并 且 发 同一 组 接收 者 的 ， 组 播报 文 一 旦 进 
入 组 播 网 络 后 ， 组 播 网 络 设备 《〈 例 如 组 播 路 由 需 等 ) 负 员 拷贝 及 转发 这 些 报 文 ， 下 全 报 
文 到 达 接 收 者 。 那 么 组 播 路 由 器 如 何 知 道 应 该 将 组 播报 文 转 发 到 哪里 〈 从 设备 的 哪个 或 
者 哪些 接口 转发 出 去 ) ? 组 播报 文 在 网 络 中 的 传输 路 径 如 何 ? 如 何 确保 组 播报 文 在 转发 
的 过 程 中 不 存在 环 路 ? 这 就 要 用 到 组 播 路 由 协议 了 。 

每 一 台 组 播 路 由 需 都 维护 一 个 非 钊 重要 的 数据 表 ， 这 个 数据 表 便 是 组 播 路 由 表 ， 组 
播 路 由 表 中 包含 的 组 播 路 由 表 项 将 用 于 指导 组 播报 文 转发 。 

在 一 个 组 播 网 络 中 ， 组 播 路 由 协议 的 主要 作用 如 下 。 

。 在 每 台 路 由 右上 确定 朝 问 组 播 源 〈( 或 者 RP〉 的 接口 ， 该 接口 也 被 称 为 上 游 接 口 。 
在 每 人 台 组 播 路 由 器 的 每 一 个 组 播 路 由 表 项 中 ， 如 果 存 在 上 洲 接 口 ， 那 么 上 游 接口 只 会 
一 个 ， 只 有 在 该 接口 上 到 达 的 组 播 流量 才 被 视 为 合法 的 。 

。 在 每 台 路 由 需 上 确定 绷 回 组 播 接 收 者 的 接口 ， 该 接口 也 被 称 为 下 族 接 口 。 当 组 播 
流量 在 上 游 接口 到 达 时 ， 组 播 路 由 此 负 贡 将 流量 从 下 游 接 口 转 必 出去。 需要 强调 的 是 ， 
组 播 流 量 永远 不 会 从 上 游 接口 转发 出 去 ， 因 为 这 有 可 能 在 网 络 中 造成 环 路 。 在 一 个 组 播 
路 由 表 项 中 ， 下 游 接 口 列表 中 可 能 包含 零 个 、 一 个 或 多 个 接口 。 

。 维护 组 播 路 由 表 项 。 每 一 个 组 播 路 由 表 项 都 以 一 对 二 元 组 (组 播 源 及 组 播 组 ) 进 
行 标 识 ， 而 且 每 一 个 组 播 路 由 表 项 都 包含 上 游 、 下 游 接 口 信 息 。 从 宏观 的 层面 看 ， 组 播 
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路 由 协议 的 工作 成 果 是 在 网 络 中 构建 一 棵 无 环 的 “ 树 ” 组 播 流量 沿 看 这 标 无 环 树 从 上 洲 
向 下 游 转发 ， 最 终 到 达 接 收 者 所 在 的 网 段 ， 而 网 络 中 的 每 一 台 组 播 路 由 器 ， 便 是 这 棵 树 
上 的 节点 。 关 于 组 播 分 发 树 的 概念 ， 本 书 将 在 12.5.1 节 中 介绍 。 


12.5.1 ”组 播 分 发 树 


在 一 个 组 播 网 络 中 ， 组 播 路 由 协议 扮演 着 非常 关键 的 角色 。 组 播 路 由 协议 最 重要 的 工作 
之 一 就 是 为 组 播 网 络 生成 一 棵 无 环 的 树 ， 这 棵 树 也 是 组 播 流 量 在 网 络 中 的 传输 路 径 ， 我 们 称 . 
之 为 组 播 分 发 树 (Multicast Distribution Tree),， 简称 为 组 播 树 。 常 用 的 组 播 分 发 树 有 以 下 两 种 。 

1. SPT ( Shortest-Path Tree， 最 短路 径 树 ) 

SPT 也 被 称 为 源 树 ， 是 以 组 播 源 为 树 根 的 组 播 分 发 树 ， 而 组 播 组 的 接收 者 则 可 以 看 
作 是 这 棵 树 的 树叶 。 组 播 流 量 从 树 根 ( 源 ) 出 发 ， 沿 着 校 干 传播， 最 终 到 达 树 叶 ， 也 即 
接收 者 所 在 的 终端 网 络 ， 如 图 12-24 所 示 。 


(SPT 的 树 根 ) 


“和 Source 
10.1.1.1 





”Tn 


图 12-24 SPT 


实际 上 图 12-24 所 描绘 的 组 播 分 发 树 仅 是 一 个 形象 化 的 概念 ， 对 于 组 播 网 络 中 的 每 
一 全 路 由 器 而 言 ， 它 们 并 不 清楚 “ 整 棵 树 ” 的 完整 形态 :组 播 分 发 树 体现 到 每 一 台 组 揪 
路 由 器 上 其 实 就 是 组 播 路 由 表 中 的 相关 表 项 。 每 一 台 组 播 路 由 器 都 维护 着 组 播 路 由 表 ， 
该 数据 表 用 于 指导 组 播 流 量 转发 。 在 实际 的 网 络 中 ， 组 播 路 由 表 可 能 包含 多 个 表 项 ， 每 
个 表 项 都 存在 四 个 关键 信息 : 组 播 源 地 址 、 组 播 组 地 址 、 上 游 接口 以 及 下 游 接 口 。 

组 播 路 由 表 项 分 为 两 种 类 型 : (S，G) 和 (*，G)。 其 中 Ss 表示 具体 的 某 个 组 播 源 
IP 地 址 ，G 表示 具体 的 某 个 组 播 组 IP 地 址 ， 而 * 则 表示 任意 的 组 播 源 。 

对 于 SPT 而 言 ， 使 用 的 是 (S$，G) 表 项 ， 每 一 个 4S，G) 表 项 在 网 络 中 都 对 应 了 
一 棵 独立 的 SPT。 以 图 12-24 为 例 ， 当 SPT 建立 完成 后 ， 我 们 就 能 在 每 台 路 由 器 上 观察 
到 (S，G) 表 项 ， 其 中 S 为 组 播 源 的 卫 地 址 ， 例 如 图 12-24 中 的 10.1.1.1， 假设 该 组 播 源 
器 组 播 组 239.1.1.13 发 送 组 播 流 量 ， 那 么 网 络 中 组 播 路 由 器 所 维护 的 〈S，G) 表 项 就 是 
(10.1.1.1，239.1.1.13)。 每 台 路 由 器 的 〈10.1.1.1，239.1.1.13) 表 项 都 包含 上 游 及 下 游 接口 
信息 ， 在 SPT 中 ， 上 游 接 口 是 设 备 朝 问 组 播 源 的 接口 ， 例 如 在 R3 的 (10.1.1.1，239.1.1.13) 
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表 项 中 ， 上 游 接 口 是 其 连接 R1 的 接口 ， 而 下 游 接口 有 三 个 ， 分 别 是 其 连接 R5、R6 以 及 直 
连 网 段 中 存在 组 成 员 的 那个 接口 。 当 R3 从 上 游 接口 收 到 10.1.1.1 发 往 239.1.1.13 的 组 播 流 
量 时 ， 就 会 将 这 些 流量 按照 (10.1.1.1，239.1.1.13) 表 项 的 指示 ， 拷 贝 三 份 并 分 别 从 三 个 下 
游 接 口 转发 出 去 ， 因 此 形象 的 理解 就 是 .这些 组 播 流 量 沿 着 SPT 转发 了 下 去 。 

对 于 SPT 而 言 ， 组 播 流 量 从 源 到 接收 者 的 过 程 走 的 是 最 短路 径 ， 这 也 是 该 组 播 分 发 
树 被 称 为 最 短路 径 树 的 原因 。 然 而 由 于 SPT 使 用 的 组 播 路 由 表 项 是 (S，G) 表 项 ， 这 意 
味 着 每 台 组 播 路 由 器 都 不 得 不 为 每 个 组 播 组 中 的 不 同 组 播 源 创建 单独 的 (S，G) 表 项 ， 
在 一 个 大 型 的 组 播 网 络 中 ， 当 存在 大 量 的 组 播 源 及 组 播 组 时 ， 路 由 器 的 内 存 空间 将 被 及 
肿 的 组 播 路 由 表 占 据 ， 进 而 导致 性 能 下 降 。 

2，RPT (Rendezvous Point Tree， 共 享 树 ) 

RPT 与 SPT 不 同 ， 它 不 以 组 播 源 为 树 根 ， 而 是 以 RP (Rendezvous Point) 为 根 。RP 
类 似 于 一 个 汇聚 点 的 概念 , 在 一 个 典型 的 组 播 网 络 中 , 通常 是 一 台 性 能 较 好 的 网 络 设备 。 
多 个 组 播 组 可 以 共用 一 个 RP， 期 望 接收 组 播 流 量 的 路 由 器 通过 组 播 路 由 协议 在 自己 与 
RP 之 间 建 立 一 段 RPT 的 分 文 。 组 播 流 量 首 先 需 要 从 源 发 送 到 RP， 然 后 再 由 了 RP 将 组 播 
流量 分 发 下 来 ， 组 播 流 量 顺 着 RPT 最 终 到 达 各 个 接收 者 所 在 的 终端 网 络 ， 如 图 12-25 所 
示 。 在 本 例 中 ， 组 播 源 Source 与 RP 之 间 建 立 了 SPT，S$ource 通过 这 棵 SPT 将 组 播 流量 
上 肥 送 到 RP， 而 RP 再 将 组 播 流量 沿 着 RPT 转发 到 组 播 接收 者 。 

RPT 主要 使 用 的 是 〈*，G) 表 项 ， 其 中 “*” 表 示 的 是 任意 的 组 播 源 。 换 句 话说 ， 
对 于 RPT 而 言 ， 路 由 器 对 于 每 个 组 播 组 仅 需 维护 一 个 (*，G) 组 播 路 由 表 项 ， 无 论 有 
多 少 个 组 播 源 在 向 该 组 播 组 发 送 组 播 流 量 。 

由 于 在 网 络 中 指定 了 RP， 组 播 流 量 需 要 先 从 源 发 往 RP， 再 由 RP 沿 着 组 播 树 分 发 
下 来 ， 这 就 势必 存在 这 样 一 种 情况 ， 对 于 某 些 接收 者 而 言 ， 组 播 流量 传输 的 路 径 可 能 并 
不 是 最 优 路 径 ， 如 图 12-25 中 ， 组 播 流 量 从 Source 转发 到 RP， 再 由 RP 转发 到 R2， 显 
然 对 于 R2 而 言 这 条 路 径 并 非 最 优 ， 这 就 有 可 能 引入 额外 的 时 延 。 当 然 ， 组 播 路 由 协议 
也 有 相应 的 机 制 来 规避 这 种 次 优 路 径 问 题 。 


用: Source 


sl 10.1.1.1 
Sw SPT a 





图 12-25 RPT 
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12.5.2 ”认识 组 播 相关 表 项 


对 于 组 播 而 言 ， 有 几 个 数据 表 是 大 家 需要 熟悉 和 理解 的 。 它 们 分 别 是 IGMP 组 表 、 
IGMP 路 由 表 、 组 播 协 议 路 由 表 、 组 播 路 由 表 及 组 播 转发 表 。 在 深入 讲解 组 播 之 前 ， 和 学 
会 读 民 这 几 张 数据 表 并 掌握 相应 的 查看 方法 是 非常 有 必要 的 。 

1. IGMP 组 表 


一 旦 设备 在 某 个 接口 上 激活 了 IGMP， 该 设备 就 会 开始 维护 IGMP 组 表 。 初 始 情况 


下 该 数据 表 是 空 的 ， 当 设备 在 接口 上 收 到 直 连 网 段 中 的 主机 发 送出 来 的 IGMP 成 员 关 系 
报告 时 ， 设 备 就 会 在 IGMP 组 表 中 创建 一 个 新 的 表 项 。 以 图 12-26 为 例 ， 我 们 在 R3 的 
GE0/0/0 接口 上 激活 了 IGMPv2， 现 在 PC1 发 送 IGMPv2 成 员 关 系 报告 以 宣告 自己 加 入 
组 播 组 239.1.1.9，R3 在 GE0/0/0 接口 上 收 到 该 报 文 后 ， 将 会 创建 如 下 表 项 : 
<R3>display igmp group 
Interface group report information of VPN-Instance: public net 
GigabitEthernet0/0/0(192.168.1.254): | 
Total 1 IGMP Group reported 
Group Address Last Reporter Uptime Expires 
239.1.1.9 192.168.1.1 00:10:49 ”00:01:19 








Source 
10.1.1.1/24 


GEO/O/1 


GEO/0/1 $2zB GEO/0/2 
ES 


GEO/0/0 
192.168.1.254 


SS PCI 
192.168.1.1/24 


图 12-26 ” 几 张 重要 的 数据 表 


对 于 这 个 表 项 ， 相 信 大 家 已 经 不 会 阳 生 了 ， 本 书 在 前 文中 已经 做 过 介绍 。 设 备 将 其 
通过 IGMP 协议 发 现 的 组 播 组 以 及 该 组 中 最 近 一 次 发 送 成 员 关 系 报告 的 成 员 IP 地 址 记录 
在 该 表 中 。 

2.，IGMP 路 由 表 

对 于 最 后 一 跳 路 由 器 而 言 ， 通 常 有 接口 直 连 着 存在 组 播 成 员 的 终端 网 络 ， 而 这 个 接 
口 并 不 一 定 需 要 激活 组 播 路 由 协议 〈 例 如 PIM), 但 是 一 般 必须 激活 IGMP。 如 果 路 由 器 
的 接口 没有 激活 组 播 路 由 协议 ， 那 么 协议 将 无 法 把 这 个 接口 识别 为 组 播 协议 路 由 表 项 的 
下 游 接 口 ， 这 样 一 来 就 需要 使 用 IGMP 路 由 表 中 的 接口 信息 作为 组 播 路 由 表 项 的 下 游 接 
口 的 扩展 。 使 用 display igmp routing-table 命令 可 以 查看 设备 的 IGMP 路 由 表 , 如 图 12-26 
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中 的 R3， 假 设 它 并 没有 在 GE0/0/0 接口 上 激活 组 播 路 由 协议 ， 但 是 激活 了 IGMP， 那 么 
当 PC1 发 送 IGMP 成 员 关 系 报 告 宣 告 加 入 组 播 组 239.1.1.9 后 ，R3 将 维护 如 下 IGMP 路 
由 表 项 : 

<R3>display igmp routing-table 

Routing table of VPN-Instance: public net 

Total 1 entry 

00001. (*, 239.1.1.9) 

List of 1 downstream interface 
GigabitEthernet0/0/0 (192.168.1.254), 
Protocol: IGMP 

3. 组 播 协 议 路 由 表 

在 设备 上 激活 组 播 路 由 协议 后 ， 组 播 路 由 协议 会 维护 自己 的 路 由 表 ， 这 个 路 由 表 被 
称 为 组 播 协议 路 由 表 ， 它 维护 着 设备 通过 该 组 播 协 议 发 现 的 组 播 路 由 表 项 。 如 果 设 备 运 
行 了 多 个 组 播 路 由 协议 ， 那 么 每 个 协议 单独 维护 自己 的 路 由 表 。 组 播 协议 路 由 表 实 际 上 
是 为 设备 的 组 播 路 由 表 及 组 播 转发 表 提供 数据 的 。 

还 是 以 图 12-26 为 例 ， 如 果 R1、R2 及 R3 都 运行 了 PIM 〈 使 用 密集 模式 ， 在 该 模式 中 
使 用 的 组 播 分 发 树 是 SPT), 那么 这 三 台 路 由 器 都 会 维护 目 己 的 PIM 路 由 表 。 假设 PC1 是 组 
播 组 239.1.1.9 的 成 员 , 而 Source 是 该 组 播 组 的 源 ， 那 么 当 Source 开始 同 239.1.1.9 发 送 组 播 
流量 后 ， 每 台 路 由 器 的 PIM 路 由 表 中 将 会 出 现 (10.1.1.1，239.1.1.9) 的 组 播 路 由 表 项 。 

以 R3 为 例 ， 它 的 PIM 路 由 表 如 下 : 

<R3>display pim routing-table 

| VPN-Instance: public net 

Total 1 (*, G) entry; 1 (S, G) entry 


有 放生 


"AOL LL, : 
| Protocol: pim-dm, Flag: EXT ACT 
UpTime: 00:00:07 / 
Upstream interface: GigabitEthernet0/0/1 
Upstream neighbor: 10.1.13.1 
RPF prime neighbor: 10.1.13.1 
Downstream interface(s) information: None 
从 上 述 输出 可 以 看 出 ，R3 已 经 创建 了 〈S$，G) 表 项 : (10.1.1.1，239.1.1.9)， 在 该 
表 项 中 ，Protocol 字段 显示 组 播 协 议 为 PIM-DM，Flag 是 该 路 由 表 项 的 标志 ， 这 些 字 符 
拥有 着 特殊 的 含义 。Upstream interface 显示 该 路 由 颖 的 上 游 接 口 是 GE0/0/1, Downstream 
interface(s) 是 该 表 项 的 下 游 接 口 列表 ， 下 游 接口 可 以 是 零 个 、 一 个 或 多 个 ， 在 本 例 中 该 


表 项 的 下 游 接口 列表 为 空 。 





1 “由 于 R3 并 未 在 GE0/0/0 接口 上 激活 PIM-DM， 因 此 该 接口 无 法 成 为 PIM 路 由 表 
项 的 下 游 接 口 。 此 时 R3 将 通过 IGMP 路 由 表 项 来 扩展 下 游 接 口 。 
R1 的 PIM 路 由 表 如 下 : 


<R1>display pim routing-table 
VPN-Instance: public net 
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Total 0 (*, G) entry; 1 (S$, G) entry 


(10.1.1.1, 239.1.1.9) 
Protocol: pim-dm, Flag: LOC 
UpTime: 00:06:17 
Upstream interface: GigabitEthernet0/0/0 
Upstream neighbor: NULL 
RPF prime neighbor: NULL 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: GigabitEthernet0/0/1 
Protocol: pim-dm, UpTime: 00:06:17, Expires: never 
从 以 上 输出 可 以 看 出 ，R1 也 创建 了 (10.1.1.1，239.1.1.9) 表 项 ， 并 且 该 表 项 的 上 游 
接口 为 GE0/0/0， 而 下 游 接 口 列表 中 包含 一 个 接口 ， 那 便 是 GE0/0/1。 因 此 当 RI1 在 上 游 
接口 GE0/0/0 上 收 到 组 播 源 10.1.1.1 发 往 239.1.1.9 的 组 播 流 量 时 ， 它 便 会 将 流量 转发 到 
下 游 接 口 GE0/0/1。 
4. 组 播 路 由 表 
如 果 设 备 运行 了 多 种 组 播 路 由 协议 ， 那 么 每 种 路 由 协议 都 将 维护 自己 的 组 播 协议 路 
由 表 ， 而 优选 出 来 的 表 项 则 会 出 现在 设备 的 组 播 路 由 表 中 。 组 播 路 由 表 中 的 表 项 将 作为 
组 播 转发 表 的 数据 输入 。 
在 图 12-26 中 ，R3 的 组 播 路 由 表 可 能 如 下 所 示 : 
<R3>display multicast routing-table 
Multicast routing table of VPN-Instance: public net 
Total 1 entry ; 


00001. (10.1.1.1, 239.1.1.9) 
Uptime: 00:04:24 
Upstream Interface: GigablitEthernetO/O/1 
List of 1 downstream interface 
l: GigabitEthernet0/0/0 


在 R3 的 组 播 路 由 表 中 ， 大 家 能 看 到 (S，G) 表 项 : (10.1.1.1，239.1.1.9)， 这 个 表 
项 实际 上 是 R3 所 运行 的 组 播 路 由 协议 PIM 贡献 的 。 在 该 表 项 中 ，Upstream Interface 显示 
的 是 上 游 接 口 ， 只 有 在 该 接口 到 达 的 (10.1.1.1，239.1.1.9) 流量 才 被 认为 是 合法 的 ， 才 会 
被 转发 给 下 游 接 口 ， 也 就 是 downstream interface 所 罗列 的 接口 ， 本 例 中 下 游 接 口 只 有 
GE0/0/0， 也 就 是 连接 着 组 成 员 的 接口 ， 该 接口 取 自 IGMP 路 由 表 中 对 应 表 项 的 下 游 接 口 。 

5， 组 播 转发 表 

在 本 书 关 于 单 播 路 由 的 章节 中 曾经 介绍 过 单 播 路 由 表 与 FIB 表 的 区 别 ， 实 际 上 组 播 
路 由 表 与 组 播 转发 表 的 区 别 与 此 非常 类 似 。 组 播 路 由 表 中 的 表 项 作为 组 播 转发 表 的 数据 
输入 ， 前 者 的 路 由 表 项 会 被 下 载 到 后 者 ， 以 作为 指导 组 播 数据 转发 的 直接 依据 。 

在 图 12-26 中 ，R3 的 组 播 转 发 表 可 能 如 下 所 示 : 

<R3>display multicast forwarding-table 


Multicast Forwarding Table of VPN-Instance: public net 
Total 1 entry, 1 matched 


00001. (10.1.1.1, 239.1.1.9) 
MID: 0, Flags: ACT 
Uptime: 00:01:03, Timeout in: 00:02:38 
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Incoming interface: GigabitEthernet0/0/] 
List of 1 outgoing interfaces: 
1: GigabitEthernet0/0/0 
Activetime: 00:01:03 
Matched 292487272858] packets(3884952538061436 bytes); Wrong If 4 packets 
Forwarded 2907692859393 packets(3861416117273932 bytes) - 


在 上 述 输出 中 可 以 看 到 〈10.1.1.1，239.1.1.9) 表 项 的 相关 信息 ， 如 上 游 接 口 〈 表 项 
中 的 Incoming interface) 以 及 下 游 接 口 ( 表 项 中 的 outgoing interfaces ) 等 。 另 外 ，Matched 
packets 显示 的 是 匹配 该 路 由 表 项 的 组 播报 文 个 数 以 及 字 市 数 ， 这些 数 据 可 为 组 播 故障 定 
位 提供 重要 依据 。Wrong If 显示 的 是 在 错误 的 接口 上 【也 就 是 非 上 游 接 口 ) 收 到 的 组 播 
报 文 个 数 。Forwarded packets 显示 的 是 根据 该 转发 项 转发 的 报 文 个 数 和 衬 节 数 。 


1 RPP 


当 路 由 器 收 到 一 个 单 播报 文 时 , 它 将 在 自己 的 单 播 路 由 表 中 查询 该 报 文 的 目的 全 地 
址 , 并 通过 匹配 的 路 由 表 项 来 决定 将 报 文 转发 给 哪个 下 一 跳 设 备 , 以 及 从 哪个 接口 发 出 。 
在 传统 的 IP 路 由 中 ， 报 文 的 源 IP 地 址 通常 是 不 被 关心 的 。 路 由 嚣 在 转发 单 播报 文 时 ， 
有 一 个 问题 不 得 不 考虑 ， 那 就 是 报 文 转发 的 防 环 ， 如 何 才 能 确保 网 络 中 的 路 由 右 在 转发 
报 文 时 不 会 出 现 环 路 ?如 果 网 络 中 运行 了 动态 路 由 协议 ， 那 么 动态 路 由 协议 将 依赖 自身 
的 能 力 实现 路 由 的 无 环 化 ， 从 而 使 得 数据 转发 不 会 发 生 环 路 。 几 乎 所 有 的 单 播 动态 路 由 
协议 都 拥有 路 由 防 环 的 设计 ， 例 如 ，RIP 的 路 由 防 环 很 大 程度 上 依赖 水 平分 割 规则 等 ; 
OSPF 的 路 由 防 环 依赖 LSDB、SPF 算法 以 及 对 各 种 LSA 的 传播 限制 和 路 由 计算 要 求 等 ; 
BGP 的 路 由 防 环 则 依赖 AS_Path 路 径 属 性 及 IBGP 水 平分 割 规则 等 。 

单 播报 文 是 发 往 单一 接收 者 的 ， 若 在 转发 过 程 中 出 现 环 路 ， 对 网 络 尚 且 会 带 来 巨大 
影响 ; 而 组 播报 文 是 发 往 一 组 接收 者 的 ， 一 旦 出 现 环 路 ， 后 果 可 想 而 知 。 与 单 播 路 由 不 
同 ， 路 由 器 转发 组 播报 文 时 ， 除 了 会 关注 报 文 的 目的 地 址 ， 还 会 特别 关心 该 报 文 的 来 源 。 

组 播 路 由 器 通过 一 种 被 称 为 RPF (Reverse Path Forwarding， 反 辐 路 径 转 发 ) 的 机 制 
来 实现 组 播报 文 转发 的 无 环 化 。RPF 机 制 确保 组 播报 文 在 正确 的 接口 到 达 ， 只 有 这 些 组 
播报 文才 会 被 路 由 器 沿 着 组 播 分 发 树 进行 转发 ， 如 果 报 文 在 错误 的 接口 到 达 ， 路 由 器 将 
丢弃 这 些 报 文 ， 因 此 RPF 确保 了 组 播 流 量 转 发 路 径 的 唯一 性 ， 这 里 所 谓 正 确 的 接口 ， 其 
实 就 是 RPF 接口 (通过 RPF 检查 的 接口 )， 也 就 是 我 们 经 常 说 的 上 游 接口 。 

网 络 设 备 上 的 单 播 路 由 、MBGP 路 由 以 及 组 播 静 态 路 由 都 可 以 作为 RPF 检 查 的 依据 。 
通常 情况 下 ， 我 们 采用 单 播 路 由 进行 RPF 检查 。 当 设备 收 到 一 个 组 播报 文 时 ， 它 将 在 其 
单 播 路 由 表 中 查询 到 达 该 报 文 的 源 卫 地 址 的 路 由 ， 也 就 是 查询 到 达 组 播 源 的 单 播 路 由 ， 
并 检查 该 单 播 路 由 表 项 的 出 接口 与 接收 该 报 文 的 接口 是 否 一 致 ， 如 果 不 一 致 ， 则 认为 报 
文 未 通过 RPF 检查 并 将 其 丢弃 ; 如 果 一 致 ， 则 认为 报 文通 过 RPF 检查 并 对 其 进行 转发 。 

以 图 12-27 为 例 ， 假 设 R1、R2 及 R3 都 运行 了 单 播 路 由 协议 ， 例 如 OSPF，OSPF 
收敛 完成 后 ， 三 台 路 由 器 都 将 获知 到 达 全 网 各 个 网 段 的 路 由 。R3 的 单 播 路 由 表 如 下 : 


<R3>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 

Destinations : 15 Routes : 16 
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Destination/Mask Proto Pre -Cost Flags NextHop Interface 

10.1.1.0/24 OSPF 二 D 10.1.13.1 GigabitEthernet0/0/1 

10.1.12.0/24 OSPF 2 D 10.1.13.1 GigabitEthernet0/0/1 
OSPF I 2 D 10.1.23.2 GigabitEthernet0/0/2 

10.1.13.0/24 Direct 0 0 D 10.1.13.3 GigabitEthernet0/0/1 

10.1.23.0/24 Direct 0 0 D 10.1.23.3 GigabitEthernet0/0/2 

192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet0/0/0 


人 








“i (10.1.1.1, 239.1.1.9) 
10.1.1.1/24 组 播 流 量 











emaionmask | Prowo | Cost | merisee” 


GE0/010 | Rs3 无 法 通过 RPF 检查 ， 





被 到 
PC]1 
> 192.168.1.1/24 


图 12-27 RPF 检查 


当 组 播 源 Source 开始 向 组 播 组 239.1.1.9 发 送 组 播 流量 时 ，R3 将 可 能 在 其 GE0/0/1 
及 GE0/0/2 接口 上 都 收 到 这 些 流量 , 它 需 要 对 这 些 流量 进行 RPF 检查 。 当 R3 在 其 GE0/0/2 
接口 上 收 到 该 组 播 流 量 时 (假设 本 网 络 使 用 SPT), 它 将 在 自己 的 单 播 路 由 表 中 查询 到 达 
组 播报 文 的 源 卫 地址 10.1.1.1 的 路 由 ， 经 过 路 由 表 查 询 后 ， 它 发 现 路 由 表 中 存在 一 条 匹 
配 的 路 由 ， 并 且 该 路 由 的 出 接口 为 GE0/0/1， 这 说 明 GE0/0/1 才 是 R3“ 朝 向 ”Source 的 
接口 (RPF 接口 )， 因 此 从 GE0/0/2 接口 到 达 的 (10.1.1.1，239.1.1.9) 组 播 流 量 被 认为 无 
法 通过 RPF 检查 ， 该 流量 将 被 丢弃 。 而 当 源 10.1.1.1 发 往 组 播 组 239.1.1.9 的 组 播 流量 在 
GE0/0/1 接口 上 到 达 时 ， 由 于 到 达 接 口 正 是 RPF 接口 ， 因 此 这 些 组 播 流量 被 R3 接收 ， 


并 转发 到 下 游 接口 。 
从 R3 的 组 播 路 由 表 也 能 够 看 到 RPF 接口 信息 : 


<R3>display multicast routing-table 
Maulticast routing table of VPN-Instance: public net 
Total 1 entry 


00001. (10.1.1.1, 239.1.1.9) 
Uptime: 00:00:03 
Upstream Interface: GigabitEthernet0/0/1 
List of 1 downstream interface nL 
1: GigabitEthernet0/0/0 


需要 格外 强调 的 是 ， 对 于 SPT 及 RPT， 组 播 路 由 器 在 执行 RPF 检查 时 是 存在 区 


别 的 : 
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e 当 组 播 路 由 器 在 SPT 上 接收 组 播 流 量 时 ， 将 使 用 组 播报 文 的 源 卫 地 址 ， 也 就 是 
组 播 源 的 IP 地 址 进行 RPF 检查 ， 因 为 组 播 源 是 SPT 的 树 根 。 





. \ 本 节 所 描述 的 例子 就 是 路 由 器 在 SPT 上 接收 组 播 流量 时 的 RPF 操作 。 


。 当 组 播 路 由 咒 在 RPT 上 接收 组 播 流 量 时 , 将 使 用 RP 的 IP 地 址 进行 RPF 检查 (在 
单 播 路 由 表 中 查询 到 达 RP 的 路 由 表 项 , 并 将 该 路 由 表 项 的 出 接口 指定 为 RPF 接口 )， 因 
为 RP 是 RPT 的 树 根 。 


12.5.4 ”PIM 概述 


对 于 一 个 组 播 网 络 而 言 ， 组 播 路 由 协议 是 非常 关键 的 一 环 。 在 组 播 的 架构 中 ， 组 播 
路 由 协议 运行 在 网 络 中 的 组 播 设 备 上 ， 组 播 路 由 协议 的 主要 功能 之 一 就 是 在 网 络 中 构建 
组 播 分 发 树 ， 而 实际 上 体现 在 每 台 设 备 上 的 结果 就 是 组 播 协 议 路 由 表 项 。 

PIM (Protocol Independent Multicast， 协 议 无 天 组 播 ) 是 目前 行业 中 使 用 得 最 为 广泛 
的 域内 组 播 路 由 协议 , 也 是 本 书 将 要 重点 讨论 的 组 播 路 由 协议 。 目 前 PIM 存在 两 个 版 本 ， 
其 中 PIMv1 几乎 已 经 不 用 了 ， 而 PIMv2 则 是 目前 主要 使 用 的 版 本 。 本 书 将 针对 PIMv2 
展开 讲解 ， 因 此 在 后 续 的 内 容 中 ，PIM 指 的 是 PIMv2。 

PIM 协议 的 工作 需要 依赖 设备 的 单 播 路 由 表 , 它 使 用 设备 的 单 播 路 由 表 进 行 RPF 检 
但 以 及 构建 组 播 分 发 树 ， 与 此 同时 ， 其 不 关心 设备 具体 运行 的 是 哪 一 种 或 者 哪些 单 播 路 
由 协议 ， 静 态 路 由 、OSPF、IS-IS、RIP、BGP 等 均 可 为 PIM 提供 服务 。 所 谓 “ 协 议 无 
天 ”， 指 的 是 PIM 的 运行 机 制 与 具体 使 用 什么 样 的 单 播 路 由 协议 没有 关系 。 

PIM 主要 存在 两 种 工作 模式 , 它们 是 密集 模式 (Dense Mode) 以 及 稀疏 模式 (Sparse 
Mode)， 这 两 种 模式 分 别 适 用 于 不 同 的 网 络 场景 。 


12.6 PIM-DM 


PIM-DM (PIM Dense Mode) 是 PIM 的 密集 模式 ， 它 适用 于 组 播 接收 者 较为 密集 的 
紧 凌 型 网 络 。PIM-DM 开始 工作 后 ， 假 定 网 络 中 的 每 一 个 分 支 均 存在 组 播 接收 者 ， 因 此 
当 源 开始 发 送 组 播 流量 后 , 组 播 流量 首先 被 扩散 (Flood) 到 全 网 各 个 分 文 , 此 时 PIM-DM 
所 形成 的 组 播 分 发 树 (PIM-DM 使 用 的 组 播 分 发 树 是 SPT) 将 履 盖 全 网 。 完 成 组 播 流 量 
的 全 网 扩散 后 ， 存 在 组 播 接 收 者 的 分 文 目 然 会 立即 收 到 所 需 的 组 播 流量 ， 然 而 网 络 中 也 
很 可 能 存在 没有 任何 接收 者 的 分 支 ， 它 们 对 这 些 组 播 流量 并 不 感 兴趣 ， 此 时 不 需要 这 些 
组 播 流 量 的 网 络 设 备 采 用 一 种 前 枝 (Prune) 的 方式 将 自己 从 组 播 分 发 树 上 前 除 。 

在 图 12-28 中 ， 全 网 的 路 由 器 都 激活 了 PIM-DM。 当 组 播 源 Source 开始 向 组 播 组 
239.1.1.56 发 送 组 播 流量 时 ，R1 作为 第 一 跳 路 由 器 将 率先 收 到 组 播 流量 ， 由 于 R1 运行 
的 是 PIM-DM， 因 此 在 确定 组 播 流量 从 朝 癌 源 的 上 游 接口 (RPF 接口 ) 收 到 后 ， 它 将 组 
播 流 量 从 所 有 存在 PIM 邻居 的 接口 〈 除 了 上 游 接 口 ) 转发 出 去 。R2、R3 及 R4 都 将 收 
到 Rl 转发 的 《10.1.1.1，239.1.1.56) 组 播 流量 。 这 些 路 由 器 收 到 组 播 流量 后 ， 也 都 执行 


548 HCNP 路 由 交换 学 习 扣 南 


RPF 检查 ， 检 查 通 过 后 继续 向 下 游 转 发 。 这 就 是 PIM-DM 的 扩散 过 程 。 初 始 时 PIM-DM 
将 组 播 流 量 “ 粗 久 ” 地 扩散 到 网 络 中 的 各 个 角落 。 然 而 R3 并 不 需要 这 些 组 播 流 量 ， 因 
此 它 将 发 起 一 个 前 枝 过 程 ， 将 自己 从 SPT 上 前 除 。 


Source 
10.1.1.1/24 


| CIQd ,lls 239,1.1;3607 





PC1 PC3 
239.1.1.56 组 成 员 239.1.1.56 组 成 员 
图 12-28 ”PIM-DM 的 扩散 及 前 枝 过 程 


PIM-DM 的 另 一 个 重要 的 工作 机 制 是 嫁接 (Graft)， 在 本 例 中 ， 如 果 R3 下 联 了 一 个 
网 络 ， 并 且 网 络 中 出 现 了 239.1.1.56 的 组 成 员 ， 那 么 它 将 立即 发 起 一 个 嫁接 过 程 ， 将 目 
己 所 在 的 分 支 嫁接 到 SPT 上 ， 从 而 获得 组 播 流 量 。 

”从 以 上 的 描述 可 以 看 出 ，PIM-DM 的 操作 是 比较 粗 久 的 ， 这 个 特点 使 得 PIM-DM 只 
能 用 于 一 些小 规模 的 、 组 播 接收 者 分 布 比较 密集 的 组 播 网 络 。 

学 习 完 12.6 节 之 后 ， 我 们 应 该 能 够 收获 以 下 几 点 。 

。 了 解 PIM-DM 的 特点 及 适用 的 网 络 场景 ; 

。 掌握 PIM-DM 的 基础 工作 机 制 : 扩散 过 程 、 剪 枝 过 程 、 尹 接 过 程 以 及 断言 机 制 等 ; 

。 掌握 PIM-DM 的 基础 配置 。 


12.6.1 协议 报 文 


PIM 的 协议 报 文 直接 采用 耳 封 装 ,在 卫 报 文 头 部 中 协议 号 字段 的 值 为 103。PIM-DM 
及 PIM-SM 使 用 的 协议 报 文 类 型 有 所 不 同 。 对 于 PIM-DM 而 言 ， 使 用 表 12-3 罗列 的 几 
种 类 型 的 报 文 。 


表 12-3 PIM-DM 使 用 的 几 种 类 型 报 文 
TI 
Hello 用 于 PIM 邻居 发 现 、 协 议 参 数 协商 ， 以 及 PIM 邻居 关系 维护 等 


Join/Prune (加 入 /前 枝 ) 加 入 报 文 用 于 加 入 组 擂 分 发 树 ， 剪 校 报 文 则 用 于 修剪 组 播 分 发 树 。 加 入 及 前 校 
报 文 在 PIM 中 使 用 相同 的 报 文 格式 ， 只 不 过 报 文 载荷 中 的 字段 内 容 有 所 不 同 


Graft (嫁接 ) 用 于 将 设备 所 在 的 分 文 嫁接 到 组 播 分 发 树 
Graft-ACK 〈 尹 接 确 认 ) | 用 于 确认 嫁接 报 文 
Assert (断言 ) 用 于 断言 机 制 
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12.6.2 ”邻居 关系 


当 路 由 费 有 的 接口 激活 了 PIM 后 ， 该 接口 便 开 始 周 期 性 地 发 送 PIM Hello 报 文 ， 报 文 
的 源 卫 地址 为 路 由 器 的 接口 下地 址 ,而 目的 了 下地 址 是 组 播 卫 地 址 224.0.0.13( 所 有 了 PIMv2 
路 由 需 组 播 地 址 )。 缺 省 时 ，Hello 报 文 的 发 送 间隔 是 30 秒 ， 该 时 间 间 隔 可 以 通过 pim timer 
hello 命令 修改 ， 这 条 命令 可 以 在 接口 视图 或 PIM 视图 下 配置 ， 如 果 两 者 同时 配置 ， 那 
么 以 接口 视图 下 所 配置 的 值 为 准 。 

路 由 器 通过 Hello 报 文 发 现 直 连 链 路 上 的 PIM 邻居 ， 也 依赖 Hello 报 文 维持 PIM 邻 
居 关 系 。 此 外 ，PIM 的 DR 选举 也 是 依赖 Hello 报 文 的 交互 来 完成 的 。 

当 路 由 器 通过 Hello 报 文 发 现 了 一 个 PIM 邻居 后 ， 会 为 该 邻居 启动 一 个 计时 器 ， 该 
计时 费 的 时 间 设 置 为 对 方 的 Hello 报 文中 所 携带 的 Holdtime〈 缺 省 为 105 秒 )， 如 果 在 计 
时 器 超时 之 前 再 次 收 到 了 该 邻居 发 送 的 Hello 报 文 ， 则 刷新 该 计时 器 ， 如 果 一 直 未 收 到 
邻居 的 Hello 报 文 ， 导 致 该 计时 器 超时 ， 则 该 邻居 将 立即 被 删除 。 





Holdtime 指 的 是 路 由 器 等 待 接收 其 PIM 邻居 发 送 Hello 报 文 的 超时 时 间 。 


使 用 pim hello-option holdtime 命令 ， 可 修改 Hello 报 文 中 的 Holdtime。 该 命令 同样 
可 以 在 接口 视图 或 PIM 视图 下 配置 ， et es 那么 以 接口 视图 下 所 配置 的 值 

在 图 12-29 中 , 路 由 器 都 在 各 自 的 接口 上 激活 了 PIM。 以 Rl 为 例 , 它 将 在 GE0/0/0、 
GE0/0/1 及 GE0/0/2 接口 上 分 别 发 现 PIM 邻居 R2、R3 及 R4。 


Source 


PIM Hello 报 文 





图 12-29 路 由 需 在 各 目的 接口 上 激活 PIM 


使 用 display pim neighbor 命令 可 以 查看 设备 的 PIM 邻居 表 ， 以 R1 为 例 : 
<R1>display pim neighbor 

VPN-Instance: public net 

Total Number of Neighbors = 3 
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Neighbor Interface Uptime Expires Dr-Priority BFD-Session 
10.1.12.2 GE0/0/0 00:21:31 00:01:44 1 N 
10.1.13.3 GEO/O/1 00:00:52 00:01:23 1 N 
10.1.14.4 GE0/0/2 00:00:34 00:01:41 1 N 


在 display pim neighbor 命令 中 可 继续 增加 interface 及 verbose 关键 字 ， 以 R1 的 
GE0/0/0 接口 为 例 : 


<R1l>display pim neighbor interface GigabitEthernet 0/0/0 verbose 
VPN-Instance: public net 


Total Number of Neighbors on this interface =1 


Neighbor: 10.1.12.2 
Interface: GigabitEthernet0/0/0 
Uptime: 00:23:23 
Expiry time: 00:01:22 
DR Priority: 1 
Generation ID: OXCFD94D4D 
Holdtime: 105 s 
LAN delay: 500 ms 
Override interval: 2500 ms 
State refresh interval: 60 s 
Neighbor tracking: Disabled 
PIM BFD-Session: N 


12.6.3 ”扩散 过 程 


接 下 来 详细 地 分 析 一 下 PIM-DM 的 扩散 过 程 。 在 图 12-30 所 示 的 网 络 中 ， 我 们 首先 
在 每 台 路 由 器 上 部 畴 了 OSPF， 使 得 它们 都 能 够 通过 OSPF 学 习 到 去 往 全 网 各 个 网 段 的 
路 由 ， 随 后 又 在 每 台 路 由 器 的 相关 接口 上 激活 了 PIM-DM。R2 及 R4 都 在 其 连接 终端 网 
段 的 接口 上 激活 了 IGMPv2。 









Source 
出 及 本 国光 pi 


GE2/0/0 





R2 R4 
GEO0/0/1 
192.168.1.254 
PC1 PC2 
239.1.1.15 组 成 员 Rs 239.1.1.15 组 成 员 


图 12-30 ”网 络 中 部 署 了 PIM-DM 


PC1 及 PC2 是 组 播 组 239.1.1.15 的 成 员 ， 它 们 通过 发 送 IGMPv2 成 员 关 系 报告 宣告 
自己 加 入 该 组 播 组 ,.R2 及 R4 将 分 别 收 到 PC1 及 PC2 发 送 的 IGMP 报 文 并 创建 相关 IGMP 
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组 表 项 及 IGMP 路 由 表 项 。 
以 R2 为 例 ， 它 将 维护 如 下 IGMP 机 


<R2>disi lay igmp routing-table Wo 
Routing table of VPN-Instance: public net 
Total 1 entry 





00001. (*, 239.1.1.15) 
~ List of 1 downstream interface 
GigabitEthernet0/0/1 (192.168.1.254), 
Protocol: IGMP 


现在 一 切 都 已 经 准备 就 绪 。 当 组 播 源 Source 开始 向 组 播 组 239.1.1.15 发 送 组 播 流量 
时 ， 组 播 流 量 的 扩散 过 程 就 开始 了 。 

(1) Source 开始 向 组 播 组 239.1.1.15 发 送 组 播 流量 ,这 些 组 播 流 量 其 实 就 是 大 量 的 
组 播报 文 。 以 多 媒体 直播 为 例 ，Source 通过 软件 直播 多 媒体 有 影像， 影像 内 容 被 软件 编 
码 并 在 Source 的 网 卡 上 形成 一 个 个 组 播报 文 .组 播报 文大 多 采用 UDP 封装 ,在 本 例 中 ， 
Source 所 产生 的 组 播报 文 的 源 卫 地 址 为 10.1.1.1， 也 即 Source 的 地 址 , 而 目的 IP 地址 
为 239.1.1.15。 在 实际 应 用 中 ，UDP 目的 端口 号 以 及 组 播 地 址 通常 都 是 可 以 自 定 义 的 。 
当然 ，PC1、PC2 作为 接收 者 ， 也 需要 开启 相应 的 软件 ， 并 侦 听 对 应 的 UDP 端口 及 组 
播 地 址 。 

(2) 当 一 个 组 播报 文 到 达 RI1 的 GE2/0/0 接口 时 ，R1 首先 对 报 文 进行 RPF 检查 。 由 
于 报 文 的 源 地 址 是 10.1.1.1, 该 IP 地址 在 R1 的 GE2/0/0 接口 的 直 连 网 段 中 , 因此 在 该 接 
口 到 达 的 组 播报 文通 过 RPF 检查 。 R1 在 其 PIM 路 由 表 中 创建 一 个 (10.1.1.1, 239.1.1.15 ) 
表 项 ， 并 将 直 连 Source 的 GE2/0/0 接口 指定 为 该 表 项 的 上 游 接 口 ， 同 时 将 所 有 连接 PIM 
邻居 的 接口 (GE0/0/0、GE0/0/1 及 GE0/0/2) 都 指定 为 该 表 项 的 下 游 接 口 。 然 后 R1 将 组 
播报 文 进行 拷贝 ， 并 从 下 游 接口 转发 出 去 ， 如 图 12-31 所 示 。 


Souree 
10.1.1.1/24 


ll 239.1.113 


GEO/0/0 
R4 





PC1 PC2 
239 1.1.15 组 成 员 GE0/0/0 239.1.1.15 组 成 员 


图 12-31 R1 将 组 播 流量 进行 扩散 
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TR1 并 不 是 每 次 在 GE2/0/0 接口 上 收 到 组 播报 文 都 执行 RPF 检查 ,那样 效率 太 低 ， 
而 且 也 增加 了 Rl 的 负担 。 实际 上 ， 当 首 个 (10.1.1.1, 239.1.1.15) 组 播报 文 到 达 GE2/0/0 
接口 时 ，R1 将 会 执行 RPF 检查 ， 检 查 通过 后 创建 (10.1.1.1，239.1.1.15) 表 项 ， 并 在 该 
表 项 中 标记 上 游 接 口 GE2/0/0, 后 续 的 (10.1.1.1, 239.1.1.15) 组 播报 文 到 达 R1 的 GE2/0/0 
接口 后 ，R1 将 首先 查询 组 播 转发 表 ， 由 于 这 些 报 文 就 是 在 (10.1.1.1，239.1.1.15) 表 项 
的 上 游 接 口 到 达 的 ， 因 此 R1 直接 根据 该 表 项 的 指引 将 报 文 从 下 游 接 口 转发 出 去 ， 而 不 - 
用 再 次 执行 RPF 检查 。 


此 时 R1 的 PIM 路 由 表 项 如 下 : 


[Rildisplay pim routing-table 
VPN-Instance: public net 
Total 0 (*, G) entry; 1 (S, G) entry 


(10.1.1.1, 239.1.1.15) 2 
Protocol: pim-dm, Flag: LOC ACT 
UpTime: 00:;00:04 
Upstream interface: GigabitEthernet2/0/0 
Upstream neighbor: NULL 
RPF prime neighbor: NULL 
Downstream interface(s) information: 
Total number of downstreams: 3 
1: GigabitEthernet0/0/0 
Protocol: pim-dm, UpTime: 00:00:04, Expires:  - 
2: GigabitEthernet0/0/1 
Protocol: pim-dm, UpTime: 00:00:04, Expires: - 
3: GigabitEthernet0/0/2 
Protocol: pim-dm, UpTime: 00:00:04, Expires: 


从 上 面 的 输出 以 看 出 ，R1 已 经 创建 了 C10.1. 1.1，239.1.1.15)〉PIM 路 由 表 项 ， 而 且 
该 表 项 包含 三 个 下 游 接口 。 值 得 注意 的 是 ， 对 于 本 例 而 言 ， 上 述 呈 现 的 内 容 仅 仅 会 持续 
一 瞬间 ， 在 实际 环境 中 测试 时 ， 由 于 PIM 的 扩散 及 前 枝 过 程 非常 迅速 ， 因 此 可 能 难以 观 
察 到 以 上 现象 。 

(3) R2 在 GE0/0/0 接口 收 到 (10.1.1.1，239.1.1.15) 组 播 流 量 后 ， 首 先进 行 RPF 检 
查 ， 通 过 查询 单 播 路 由 表 ，R2 发 现 到 达 组 播 源 10.1.1.1 的 出 接口 是 GE0/0/0， 因 此 从 该 
接口 到 达 的 组 播 流 量 被 认为 通过 RPF 检查 。 于 是 R2 在 PIM 路 由 表 中 创建 (10.1.1.1， 
239.1.1.15) 表 项 ,将 GE0/0/0 接口 指定 为 上 游 接 口 ， 同 时 将 所 有 连接 PIM 邻居 的 接口 都 
指定 为 该 表 项 的 下 游 接 口 。 在 本 例 中 ，R2 除了 在 GE0/0/0 接口 上 维护 看 PIM 邻居 之 外 ， 
并 没有 在 其 他 接口 上 发 现 PIM 邻居 ,但 是 本 地 IGMP 路 由 表 中 存在 (*,239.1.1.15)IGMP 
路 由 表 项 ， 而 且 该 表 项 中 包含 下 游 接 口 GE0/0/1， 于 是 R2 将 GE0/011 接口 添加 到 组 播 
路 由 表 项 (10.1.1.1, 239.1.1.15) 的 下 游 接口 列表 中 。 接 下 来 , R2 将 (10.1.1.1, 239.1.1.15) 
组 播 流 量 从 GE0/0/1 接口 转发 出 去 ， 如 此 一 来 ，PC1 便 获 得 了 该 组 播 流 量 ， 如 图 12-32 
所 示 。 

此 时 R2 的 PIM 路 由 表 如 下 : 


<R2>display pim routing-table 
VPN-Instance: public net 


第 12 章 组 播 553 


Total 1 (*, G) entry; 1 (S$, G) entry 


【二 下 22391113) 
Protocol: pim-dm, Flag: EXT ACT 
UpTime: 00:01:09 
Upstream interface: GigabitEthernetO/0/0 
Upstream neighbor: 10.1.12.1 
RPF prime neighbor: 10.1.12.1 
Downstream interface(s) information: None 
<R2>display multicast routing-table 
. Multicast routing table of VPN-Instance: public net 
Total 1 entry 


O0001, (100,111,.239.1.1,15) 
Uptime: 00:01:37 
Upstream Interface: GigabitEthernet0/0/0 
List of 1 downstream interface 
l: GigabitEthernet0/0/1 


(4) R4 的 操作 过 程 与 R2 类 似 ， 此 处 不 再 蒙 述 。 最 终 ， 它 将 创建 (10.1.1.1，239.1.1.15) 
组 播 路 由 表 项 ， 并 将 (10.1.1.1，239.1.1.15) 组 播 流 量 转 发 到 GE0/0/1 接口 。 

(5) R3 在 GE0/0/0 接口 收 到 (10.1.1.1，239.1.1.15) 组 播 流量 后 ， 首 先进 行 RPF 检 
查 ， 通 过 查询 单 播 路 由 表 ，R3 发 现 到 达 组 播 源 10.1.1.1 的 出 接口 是 GE0/0/0， 因 此 从 访 
接口 到 达 的 组 播 流量 被 认为 通过 RPF 检查 。 于 是 R3 在 PIM 路 由 表 中 创建 (10.1.1.1， 
239.1.1.15) 表 项 ， 将 GE0/0/0 接口 指定 为 上 游 接口 ， 同 时 将 所 有 连接 PIM 邻居 的 接口 都 
指定 为 该 表 项 的 下 游 接口 ,在 本 例 中 ,R3 的 GE0/0/1 接口 将 被 添加 到 (10.1.1.1,239.1.1.15) 
表 项 的 下 游 接口 列表 中 。 接 下 来 ，R3 将 (10.1.1.1，239.1.1.15) 组 播 流量 从 GE0/0/1 接 
口 转发 出 去 ， 如 图 12-32 所 示 。 








Source 
10.1.1.1/24 


GE2/0/0 a (10.1.1.1, 239.1.1.15) 
1 组 播 流 量 
GE0/0/2 
GE0/0/0 GEO/0/0 


239.1.1.15 组 成 员 239.1.1.15 组 成 员 


图 12-32 初始 扩散 过 程 
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综 上 ， 当 Source 开始 向 网 络 中 发 送 组 播 流 量 后 ， 这 些 流量 在 初始 时 被 PIM-DM 扩 
散 到 了 全 网 。 


12.6.4 ” 草 枝 过 程 


在 图 12-32 中 ， 当 Source 开始 发 送 (10.1.1.1，239.1.1.15) 组 播 流 量 后 ， 开 始 时 这 
些 组 播 流量 将 被 PIM-DM 扩散 到 全 网 。 PC1 及 PC2 需要 这 些 组 播 流量 , 因此 它们 可 以 在 
第 一 时 间接 收 该 流量 。 然 而 ，R5 并 不 直 连 任何 239.1.1.15 组 成 员 ， 因 此 它 并 不 需要 这 些 
流量 。 此 时 Rs 的 〈10.1.1.1，239.1.1.15 ) 表 项 的 下 游 接 口 列 表 为 空 , 它 将 通过 同上 游 PIM 
邻居 发 送 PIM 前 枝 报 文 ， 将 自己 从 SPT 上 前 除 〈 如 图 12-33 所 示 )。 






Source 





10.1.1.1/24 
CHO 239:.1.1.15) 
组 播 流量 
RI 
(10.1.1.1, 239.1.1.15) 
PIM 能 校 报 文 





CEEEEEELELELELEE ELLE EE So 





QO 
车 
二 
3 | 过 


: | GEO/0/0 


PC1 PC2. 


239.1.1.15 组 成 员 


RS 


图 12-33” PIM 前 枝 过 程 


图 12-34 展示 了 RS 发 送 的 PIM 前 枝 报 文 。 留 意 到 该 报 文 的 源 IP 地 址 为 Rs 的 接口 
IP 地 址 10.1.3$5.5， 而 目的 卫 地 址 为 组 播 地 址 224.0.0.13。 在 报 文中 的 PIM 载荷 内 ， 写 入 
了 Rs 前 枝 的 组 播 组 地 址 239.1.1.15 和 组 播 源 IP 地 址 10.1.1.1。 


Internet Protocolt, Src: 10.1.35.5 (10.1.35.5), Dst: 224.0.0.13 (224.0.0.13) 
Protocol Independent Multicast 
0010 .... = Version: 2 
..。..。 0011 = Type: Join/Prune (3) 
Reserved byte(s): 00 
Checksum: 0xb0d4 [correct] 
5PIM parameters 
Upstream-neighbor: 10.1.35.3 
Groups: 1 
Holdtime: 210 
SGroup 0: 239.1.1.15/32 
Join: 0 
ES Prune: 1 
IP address: 10.1.1.1/32 


图 12-34 R5 向 R3 发 送 的 前 枝 报 文 
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R3 在 GE0/0/1 接口 收 到 该 剪 枝 报 文 后 ， 在 其 〈10.1.1.1，239.1.1.15) 表 项 中 将 该 接 
口 从 下 谤 接口 列表 中 移 除 ， 同 时 为 该 接口 的 剪 校 状 态 局 动 一 个 计时 嚣 ， 当 该 计时 器 超时 
的 时 候 , 接口 的 前 枝 状 态 将 被 取消 , 然后 R3 又 将 继续 从 该 接口 下 发 (10.1.1.1, 239.1.1.15 ) 
组 播 流量 ， 在 计时 器 超时 之 前 ， 如 果 接 口 再 次 收 到 RS 发 送 过 来 的 前 枝 报 文 ， 那 么 计时 
右 将 会 重 置 。 因 此 ，R5 将 周期 性 地 向 R3 发 送 剪 校 报 文 ， 以 便 持续 刷新 R3 的 GE0/0/1 
接口 的 驮 枝 状 态 。 





a 
”TT 如果 PIM 路 由 器 不 得 不 在 无 需 组 播 流量 的 链 路 上 和 持续 周期 性 地 发 送 剪 枝 报 文 ， 
这 显然 是 低 效 的 ， 状 态 刷新 (State Refresh) 机 制 优化 了 这 个 过 程 。 关 于 状态 刷新 的 描述 
超出 了 本 书 的 范围 。 


由 于 此 时 R3 的 (10.1.1.1，239.1.1.15〉 表 项 中 下 游 接 口 列表 为 定 ， 因 此 它 意识 到 目 
己 并 不 需要 (10.1.1.1，239.1.1.15) 的 组 播 流量 ， 于 是 它 从 上 游 接 口 曲 上 游 PIM 邻居 发 
送 前 梳 报 文 ， 如 图 12-33 所 示 。 

Rl 在 GE0/0/1 接口 上 收 到 R3 发 送 的 前 校 报 文 后 , 将 该 接口 从 (10.1.1.1, 239.1.1.15 ) 
表 项 的 下 游 接口 列表 中 删除 。 

完成 修 前 过 程 后 ，R1 只 会 将 (10.1.1.1，239.1.1.15) 组 播 流量 转发 给 R2 及 R4， 而 
R3 及 RS 则 不 会 再 收 到 该 组 播 流 量 。 


12.6.5 ”嫁接 过 程 


大 家 已 经 知道 ，PIM-DM 在 初始 化 过 程 中 ， 组 播 流 量 被 扩散 到 全 网 各 个 角落 ， 
不 需要 组 播 流 量 的 组 播 路 由 器 需 通 过 PIM 前 枝 报 文 将 自己 所 在 的 分 支 从 SPT 上 前 
除 ， 那 么 ， 在 此 之 后 ， 如 果菜 个 已 经 被 可 校 的 分 文 现 在 又 需要 组 播 流 量 了 ， 不 可 能 
等 上 游 设备 接口 的 前 枝 状 态 超 时 后 ， 才 能 再 次 接收 组 播 流 量 。 为 此 ，PIM-DM 定义 
了 嫁接 机 制 ， 使 得 组 播 路 由 器 在 需要 组 播 流量 时 ， 可 以 主动 将 自己 所 在 的 分 支 嫁 接 
到 SPT 中 。 

在 图 12-35 中 ， 五 台 路 由 需 构 成 了 一 个 组 播 网 络 ， 每 台 路 由 吉 都 运行 了 PIM-DM， 
R1 连接 着 组 播 源 Source， 而 R3 则 连接 独 组 播 组 239.1.1.81 的 接收 者 。 网 络 初始 化 过 程 
中 ，Source 发 出 的 〈10.1.1.1，239.1.1.81) 组 播 流量 将 被 推送 到 全 网 ， 由 于 R4 及 R5 并 
不 需要 (10.1.1.1，239.1.1.81) 组 播 流量 ， 因 此 它们 各 自问 上 游 邻 居 发 送 PIM 前 校 报 文 。 
网 络 稳定 后 ， 组 播 流量 按照 图 中 所 示 的 路 径 转 发 。 现 在 ，R5 所 直 连 的 网 络 中 ， 出 现 了 组 
播 组 239.1.1.81 的 成 员 PC2 (如 图 12-36 所 示 ), 为 了 将 自己 拉 回 SPT，R5 将 同 其 上 游 邻 
” 居 R4 发 送 一 个 嫁接 报 文 。 下 面 分 析 一 下 整个 过 程 。 

(1) R5 通过 PC2 发 送 的 IGMP 成 员 关 系 报告 发 现 直 连 网 络 中 出 现 了 组 239.1.1.81 
的 成 员 ， 于 是 向 上 游 邻 居 R4 发 送 一 个 PIM 嫁接 报 文 ， 这 是 一 个 单 播 报 文 (如 图 12-37 
所 示 )， 该 报 文 的 源 下 地 址 是 Rs 的 接口 地 址 10.1.45.5， 目 的 IP 地 址 是 上 游 邻 居 R4 的 
接口 地 址 10.1.45.4， 报 文中 填充 着 (10.1.1.1，239.1.1.81) 的 信息 。 

R5 为 上 游 接 口 GE0/0/1 启动 一 个 尹 接 计时 堪 〈 缺 省 3 秒 )， 如 果 在 该 计时 器 超时 后 
依然 没有 收 到 上 游 邻 居 发 回 的 PIM 嫁接 确认 报 文 则 继续 发 送 嫁 接 报 文 。 
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R4 RS 





(10,1.1.D, 239.1.1.81» 


组 播 流量 < 
~ a 


图 12-35 (10.1.1.1，239.1.1.81) 的 组 播 流 量 沿 着 SPT 转发 


R4 GEO/0/] RS 


10.1.45.5 
YY 













10.1.45.4 


(10.1.1.1, 239.1.1.81) 


一 > 得 播 流量 me 
gs PC1 


图 12-36 RS5 直 连 的 网 络 中 出 现 了 239.1.1.81 的 成 员 


Internet Protocol, Src: 10.1.45.5 (10.1.45.5), Dst: 10.1.45.4 (10.1.45.4) 
Protocol Independent Multicast 
0010 .... = Version: 2 
,.。 0110 = Type: Graft (6) 
Reserved byte(s): 00 
Checksum: Oxa463 [correct] 
SPIM parameters 
Upstream-neighbor: 10.1.45.4 
Groups: 1 
Holdtime: 0 
SGroup 0: 239.1.1.81/32 
日 Join: 1 
IP address: 10.1.1.1/32 
Prune: 0 


图 12-37 R5 发 给 R4 的 嫁接 报 文 


(2) R4 将 在 其 GE0/0/2 接口 上 收 到 RS 发 送 的 嫁接 报 文 ， 由 于 该 接口 当前 处 于 前 枝 
状态 ， 因 此 R4 将 其 切换 到 转发 状态 ， 并 将 该 接口 添加 到 (10.1.1.1，239.1.1.81) 表 项 的 
下 游 接 口 列表 中 ， 然 后 同 RS 发 送 一 个 巡 接 确认 报 文 。 此 时 由 于 R4 自己 并 未 接收 到 
(10.1.1.1，239.1.1.81) 组 播 流 量 ， 因 此 它 需 要 继续 往 上 自己 的 上 游 发 送 嫁接 报 文 。R4 的 上 
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游 接 口 GE0/0/1 当前 处 于 前 枝 状 态 ，R4 将 其 切换 到 转发 状态 ， 并 从 该 接口 发 送 单 播 的 嫁 
接 报 文 给 R1。R4 为 该 接口 启动 嫁接 计时 器 ， 并 等 待 R1 的 嫁接 确认 报 文 。 

(3) R1 在 GE0/0/1 接口 上 收 到 R4 发 送 的 嫁接 报 文 后 ， 它 将 原来 处 于 前 枝 状态 的 
GE0/0/1 接口 切换 到 转发 状态 ， 并 将 该 接口 添加 到 (10.1.1.1，239.1.1.81) 表 项 的 下 游 接 
口 列表 中 ， 然 后 同 R4 发 送 一 个 嫁接 确认 报 文 。 此 时 由 于 Rl1 已 经 获得 了 《10.1.1.1， 


239.1.1.81) 组 播 流 量 ， 因 此 R1 直接 将 组 播 流量 拷贝 到 下 游 接 口 GE0/0/1。 图 12-38 描述 
了 这 个 过 程 。 






Source 
10.11.] 


(10.1.1.1, 239.1.1.81) 
组 播 流量 


良 :- 
Sau = PIM 嫁接 报 文 


-一 =e PIM 嫁接 确认 报 文 
12-38 ”PIM 嫁接 及 尹 接 确认 过 程 


(4) 现在， 新 的 SPT 已 经 构建 完成 ,组 播 流量 沿 着 新 的 SPT 从 源 转发 到 接收 者 ， 如 
图 12-39 所 示 。 





(10 .dl 239,1,1.812 
一 一 一 荆 - 
组 播 流量 


图 12-39 新 的 SPT 构建 完成 


12.6.6 ”断言 机 制 | 


在 图 12-40 所 示 的 网 络 中 存在 4 台 组 播 路 由 器 ， 它 们 都 运行 了 PIM-DM， 其 中 R2、 
R3 及 R4 各 目 有 一 个 接口 连接 到 同一 台 二 层 交 换 机 。PC 是 组 播 组 239.1.1.37 的 成 员 ， 当 
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组 播 源 Source 开始 同 239.1.1.37 发 送 组 播 流 量 时 ，R1 会 将 组 播 流量 转发 给 R2 及 R3， 
R2 及 R3 各 目 对 接收 的 组 播 流量 进行 RPF 检查 , 检查 通过 后 将 流量 从 目 己 的 GE0/0/1 接 
口 转发 出 去 。 这 样 ，R3 及 R4 会 收 到 R2 从 GE0/0/1 接口 发 出 的 组 播 流 量 ，R3 同 理 。 结 
果 便 是 R4 将 在 目 己 的 GE0/0/1 接口 收 到 两 份 重复 的 组 播报 文 。 这 显然 是 没有 意义 的 ， 
况且 大 量 重复 的 组 播 流 量 还 会 造成 网 络 带 宽 及 设备 资源 的 良 费 。 






GOEO/O/ GEU/O/1 
10.1.234.2 10.1.234.3 


图 12-40 R2 及 R3 都 问 同 一 个 网 段 转发 组 播 流量 


断言 (Assert) 机 制 可 以 很 好 地 解决 这 个 问题 。 这 个 机 制 依赖 于 PIM 的 断言 报 文 ， 
该 机 制 在 PIM-DM 及 PIM-SM 中 均 被 使 用 。 断 言 机 制 能 够 防止 多 台 组 播 路 由 器 向 同 一 个 
网 段 转发 重复 的 组 播 流 量 。 当 路 由 器 的 茶 个 接口 被 指定 为 (S，G) 表 项 的 下 游 接 口 ， 并 
且 该 接口 收 到 了 〈S，G) 的 组 播 流 量 时 ， 断 言 机 制 将 被 触发 ， 这 种 现象 意味 着 在 同一 个 
网 段 内 ， 还 有 其 他 设备 在 发 送 重 复 的 组 播 流量 ， 因 此 一 场 选 举 将 会 展开 ， 从 选举 中 胜出 
的 一 方 继续 向 该 网 段 转发 (S$，G) 组 播 流 量 ， 而 失败 的 一 方 则 停止 癌 该 网 段 转发 〈S$， 
G) 组 播 流量 。 

回 到 图 12-40 所 示 的 例子 ， 来 解析 一 下 断言 机 制 的 工作 原理 。 

(1) R2 在 自己 的 上 游 接 口 收 到 (10.1.1.1，239.1.1.37) 组 播报 文 ， 该 报 文 经 RPF 检 
查 通过 后 ， 被 R2 从 下 游 接 口 GE0/0/1 转发 出 去 ; R3 同 理 。 

(2) R2 在 自己 的 〈10.1.1.1，239.1.1.37) 下 游 接 口 GE0/0/1 上 收 到 了 R3 转发 的 
(10.1.1.1，239.1.1.37) 组 播报 文 ， 该 报 文 无 法 通过 RPF 检查 ， 因 此 直接 被 R2 丢弃 ， 与 
此 同时 ，R2 在 GE0/0/1 接口 上 局 动 断言 机 制 。R3 同 理 。 起 初 双方 都 认为 目 己 是 胜利 的 
一 方 (Winner)， 各 自从 GE0/0/1 接口 发 送 PIM 断言 报 文 (如 图 12-41 所 示 )。 这 个 报 文 
就 像 是 双方 用 于 选举 的 简历 ， 里 面包 含 着 用 于 一 较 高 下 的 信息 。 假 设 在 本 场景 中 R2 通 
过 OSPF 获知 到 达 Source 的 路 由 (OSPF 内 部 路 由 )， 并 且 路 由 的 度量 值 为 2， 而 R3 则 
并 未 运行 OSPF， 而 是 配置 了 到 达 Source 的 静态 路 由 ， 静 态 路 由 的 缺 省 度量 值 为 0。 

R2 发 送出 去 的 断言 报 文 ， 源 IP 地 址 即 R2 的 接口 卫 地 址 ， 目 的 卫 地 址 为 组 播 地 址 
224.0.0.13， 而 报 文 中 的 PIM 载 衙 部 分 包含 4 个 关键 字段 : 组 播 组 地 址 、 组 播 源 地 址 、 
优先 级 和 度量 值 ， 其 中 组 播 组 地 址 为 239.1.1.37， 组 播 源 地 址 为 10.1.1.1， 优 先 级 则 是 R2 
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到 达 Source 的 单 播 路 由 的 优先 级 , 此 处 值 为 10( 因 为 R2 是 通过 OSPF 发 现 到 达 10.1.1.1 
的 路 由 ，OSPF 内 部 路 由 的 缺 省 优先 级 值 为 10)， 度 量 值 则 为 2。 另 一 方面 ，R3 发 出 的 
断言 报 文中 ， 优 先 级 值 为 60 (静态 路 由 缺 省 优先 级 值 为 60)， 度 量 值 为 0。 









CLIO. Ll 239.1,]1:37> 
组 播 流量 
---* PIM 断 言 报 文 


-一 -一 全 


GEO/O0/1 
10.1.234.2 


GE0O/0/1 
10.1.234.3 


源 : 10.1.234.3 
目的 : 224.0.0.13 





a 


图 12-41 ”断言 机 制 


(3) R2 及 R3 收 到 对 方 发 送 的 断言 报 文 后 ， 便 会 进行 比较 ， 比 较 的 内 容 及 顺序 如 下 。 
图 比较 双方 到 达 组 播 源 的 单 播 路 由 优先 级 ， 优 选 值 最 小 一 方 ; 
国 比较 双方 到 达 组 播 源 的 单 播 路 由 度量 值 ， 优 选 值 最 小 的 一 方 ; 
国 比较 双方 的 接口 IP 地 址 ， 优 选 IP 地 址 最 大 的 一 方 。 
(4) 根据 上 面 的 比较 顺序 ， 首 先 R2 到 达 Source 的 单 播 路 由 优先 级 值 为 10， 而 R3 
该 值 为 60， 值 更 小 的 一 方 胜 出 ， 因 此 R2 在 本 次 选举 中 胜出 。R2 的 GE0/0/1 接口 作为 胜 
出 的 一 方 ， 保 持 转 发 状态 ， 继 续 癌 直 连 网 段 转发 (10.1.1.1，239.1.1.37) 组 播 流量 ， 而 选 
举 失 败 的 R3 则 不 再 从 自己 的 GE0/0/1 接口 转发 (10.1.1.1，239.1.1.37) 组 播 流量 。 


12.6.7 ”案例 : PIM-DM 基础 配置 


在 图 12-42 中 ，4 台 路 由 器 构成 了 一 个 组 播 网 络 ，R1 作为 第 一 跳 路 由 器 ， 直 连 看 组 
播 源 Source，R4 作为 最 后 一 跳 路 由 右 ， 直 连 看 组 播 组 239.1.1.62 的 成 员 。 为 了 使 得 Source 
发 往 239.1.1.62 的 组 播 流量 能 够 被 PC 顺利 接收 ， 首 先 在 4 台 路 由 絮 上 部 车 OSPF， 使 
得 每 台 路 由 器 都 能 获知 到 达 全 网 各 个 网 段 的 单 播 路 由 。 然 后 在 每 台 路 由 器 上 部 署 
PIM-DM， 并 在 R4 的 GE0/0/0 接口 上 激活 IGMPv2。 本 例 聚 焦 组 播 相关 配置 ，OSPF 的 
配置 不 再 效 述 。 

R1 的 配置 如 下 : 

[Rllmulticast routing-enable 

[RlJinterface GigabitEthernet 0/0/0 


[R1-GigabitEthernet0/0/0]pim dm 
[Ri]interface GigabitEthernet 0/0/1 
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[Ri1-GigabitEthernet0/0/1]pim dm 
[Rllinterface GigabitEthermet 0/0/2 
[R1-GigabitEthernet0/0/2]pim dm 
Source 
;1.4.2 
GEO/0/0 
10.1.1.254/24 










GE0O/0/1 
10.1.12.1/24 


GE0/0/2 


GE0O/0/0 10.1.13.1/24 


10.1.12.2/24 


GEO/0/0 
10.1.13.3/24 


GEO/0/1 
10.1.234.2 


GE0O/0/]1 
10.1.234.3 


GEO/O/1 
10.1.234.4/24 


中 


j 192.168.1.1/24 


192.168.1.254/24 
图 12-42 ”PIM-DM 基础 配置 


R2 的 配置 如 下 : 

[R21]multicast routing-enable 

[R2]interface GigabitEthernet 0/0/0 

[R2-GigabitEthemet0/0/0]pim dm 

[R2]interface GigabitEthernet 0/0/1 

[R2-GigabitEthernet0/0/1]pim dm 

R3 的 配置 如 下 : 

3]multicast routing-enable 

[R3]interface GigabitEthernet 0/0/0 

[R3-GigabitEthernet0/0/0]pim dm 

[R3]interface GigabitEthernet 0/0/1 

[R3-GigabitEthernet0/0/1]pim dm 

R4 的 配置 如 下 : 

[R4jmulticast routing-enable 

[R4]interface GigabitEthernet 0/0/1 

[R4-GigabitEthernet0/0/1]pim dm 

[R4linterface GigabitEthernet 0/0/0 

[R4-GigabitEthernet0/0/0]igmp enable 

在 上 述 配置 中 ,multicast routing-enable 命令 用 于 激活 设备 的 组 播 路 由 功能 ,pim dm 
命令 用 于 在 特定 接口 上 激活 PIM-DM。 完 成 上 述 配 置 后 ， 路 由 器 的 相应 接口 便 会 开始 周 
期 性 地 发 送 PIM Hello 报 文 并 尝试 建立 PIM 邻居 关系 。 


首先 了 解 R1 的 PIM 邻居 表 : 
<R1>display pim neighbor 

VPN-Instance: public net 

Total Number of Neighbors = 2 


Neighbor Interface Uptime Expires Dr-Priority BFD-Session 
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10.1.12.2 GEO0/0/1 00:15:00 00:01:44 1 N 
10.1.13.3 GE0/0/2 05:09:06 00:01:44 1 N 
RI1 已 经 与 R2、R3 建立 了 关系 。 髓 了解 R4 的 PIM 邻居 表 : 
<R4>display pim neighbor 


VPN-Instance: public net 
Total Number of Neighbors = 2 


Neighbor Interface Uptime Expires DrPriority BFD-Session 
10.1.234.3 GEO/0/1 05:09:03 00:01:24 1 N 
10.1.234.2 GEO/0/1 05:09:01 00:01:17 1 N 


R4 在 GE0/0/1 接口 上 分 别 与 R2 及 R3 建立 了 PIM 邻居 关系 。 
现在 ，PC 通过 发 送 IGMP 成 员 关 系 报告 ， 宣 布 加 入 组 播 组 239.1.1.62，R4 会 在 其 
GE0/0/0 接口 上 收 到 这 个 报 文 ， 并 在 IGMP 组 表 中 形成 如 下 表 项 : 


<R4>display igmp group 
Interface group report information of VPN-Instance: public net 
__ GigabitEthernet0/0/0(192.168.1.254): 
Total 1 IGMP Group reported 
_ Group Address Last Reporter Uptime Expires 
239.1.1.62 192.168.1,1 05:25:37 00:01:;23 


当 组 播 源 Source 开始 向 组 播 组 239.1.1.62 发 送 组 播 流量 时 ,流量 首先 会 被 推送 到 全 网 ， 
随后 PIM-DM 开始 前 枝 过 程 。 网 络 稳定 后 ， 组 播 流量 的 转发 路 径 如 图 12-43 所 示 。 之 所 以 
组 播 流 量 是 从 R3 到 达 R4, 而 不 是 从 R2 到 达 R4， 其 实 是 受到 了 R2 的 GE0/0/1 接口 与 R3 
的 GE0/0/1 接口 的 断言 结果 的 影响 ，R2 及 R3 都 通过 OSPF 发 现 到 达 10.1.1.1 的 路 由 ， 并 
且 路 由 的 度量 值 相等 ， 因 此 接口 IP 地 址 更 大 的 R3 在 断言 机 制 中 胜出 ， 组 播 流量 由 R3 转 
发 给 R4。 而 R2 则 向 上 游 邻 居 R1 发 送 PIM 前 枝 报 文 ， 将 自己 从 SPT 上 剪除。 


(10.1.1.1，239.1.1.62) 10.1.1.1 
组 播 流量 







GEO/0/0 GE0O/0/0 


GE0O/0/1 
10.1.234.2 


GEU/U/1 
10.1.234.3 


PC 
?192.168.1.1/24 


图 12-43 ”网 络 稳定 后 组 播 流 量 的 转发 路 径 


在 R3 上 使 用 display pim routing-table fsm 命令 可 以 查看 其 PIM 路 由 表 项 的 有 限 状 
态 机 信息 : 


<R3>display pim routing-table fsm 
VPN-Instance: public net 
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Total 0 (*, G) entry; 1(S, G) entry 


Abbreviations for FSM states and Timers: 
NI - no info, J - joined, NJ - not joined, P - pruned, 
NP - not pruned, PP - prune pending, W - winner, L - loser, 
F - forwarding, AP - ack pending, DR - designated router, 
NDR - non-designated router, RCVR - downstream receivers, 
PPT - prunepending timer, GRT - graft retry timer, 
OT - override timer, PLT - prune limit timer, 
ET -join expiry timer, JT - join timer, 
AT - assert timer, PT - prune timer 


(10.1.1.1, 239,1,1.62) 
Protocol: pim-dm, Flag: ACT 
UpTime: 00:07:16 
Upstream interface; GigabitEthernetO/0/0 
Upstream neighbor: 10.1.13.1 
RPF prime neighbor: 10.1.13.1 
Join/Prune FSM: [F, OT Expires: 00:00:01] 
Downstream interface(s) information: \ 
Total number of downstreams: 1 
1: GigabitEthermmet0/0/1 
Protocol: pim-dm, UpTime: 00:07:16, Expires: never 
DR state: [NDR] 
Join/Prune FSM: [NH] 
Assert FSM: [W, AT Expires: 00:03:00] 
Winner: 10.1.234.3, Pref: 10, Metric: 2 


FSM information for non-downstream interfaces: 
1: GigabitEthermnet0/0/0 
Protocol: pim-dm 
DR state: [DR] 
Join/Prune FSM: [NI] 
Assert FSM: [L, AT Expires: 00:03:00] 
Winner: 10.1.13.1, Pref: 0, Metric: 0 
在 上 述 输出 中 ， 我 们 主要 关注 的 是 下 游 接口 GE0/0/1， 从 加 粗 的 内 容 可 以 看 出 ，R3 
的 GE0/0/1 接口 在 断言 机 制 中 胜出 ， 其 中 Winner: 10.1.234.3 指 的 是 断言 胜利 者 的 接口 
IP 地 址 ， 这 正 是 R3 的 接口 IP 地 址 ， 另 外 Pref 指 的 是 R3 的 单 播 路 由 表 中 到 达 组 播 源 
10.1.1.1 的 路 由 优先 级 ， 也 就 是 OSPF 内 部 路 由 的 优先 级 ， 另 外 Metric 指 的 是 该 路 由 的 
度量 值 。 
最 后 ， 再 确认 一 下 各 人 台 路 由 器 的 组 播 路 由 表 ， 以 R3 为 例 ， 此 时 它 的 组 播 路 由 表 
如 下 : 


<R3>display multicast routing-table 
Mnulticast routing table of VPN-Instance: public net 
Total 1 entry 


00001. (10.1.1.1, 239.1.1.62) 
Uptime: 01:17:19 , 
Upstream Interface: GigabitEthernet0/0/0 
List of 1 downstream interface 
l: GigabitEthemet0/0/1 


第 12 章 组 播 563 


12.7 PIM-SM 


PIM-DM 适用 于 组 播 接收 者 较为 密集 的 网 络 ， 它 采用 一 种 粗 久 的 方式 将 组 播 流量 先 
扩散 到 全 网 ， 不 需要 组 播 流 量 的 分 支 而 是 通过 前 枝 的 方式 将 自己 从 SPT 上 剪除 。 这 个 特 
扩 使 得 PIM-DM 只 适用 于 一 些 规模 较 小 的 网 络 。 与 PIM-DM 不 同 , PIM-SM (PIM Sparse 
Mode，PIM 黎 焉 模式 ) 则 运用 于 组 播 接收 者 较为 分 散 、 规 模 较 大 的 网 络 。 初 始 过 程 中 ， 
PIM-SM 并 不 会 像 PIM-DM 那样 主动 向 网 络 中 扩散 组 播 流 量 ， 那 些 需 要 组 播 流 量 的 分 支 
必须 主动 通过 天 着 RP 的 方向 发 送 PIM 加 入 报 文 ， 将 自己 拉 到 RPT 上 ， 从 而 形成 RPT 
的 一 个 分 支 ， 然 后 才能 从 RPT 上 接收 组 播 流 量 。 

在 部 普 PIM-SM 时 , 有 一 个 关键 设备 需要 格外 关注 , 那 就 是 RP (Rendezvous Point)， 
这 是 一 个 类 似 于 组 播 流 量 汇聚 点 的 概念 , 通常 是 网 络 中 某 台 性 能 较 好 的 设备 。RP 是 RPT 
的 树 根 ， 以 它 为 分 界 点 ， 可 以 将 组 播 网 络 划 分 为 两 部 分 ， 一 部 分 是 从 RP 到 接收 者 ， 另 
一 部 分 则 是 从 源 到 RP。RP 的 作用 非常 重要 ， 一 方面 它 从 组 播 源 接收 组 播 流量 ， 男 一 方 
面 ， 需 要 组 播 流量 的 组 播 路 由 器 绷 着 RP 的 方 问 发 送 PIM 加 入 报 文 ， 从 而 在 自己 与 RP 
之 间 构 建 RPT 的 一 段 分 文 ， 随 后 RP 负责 将 其 从 源 接 收 的 组 播 流 量 沿 着 RPT 转发 下 去 。 
一 个 RP 可 以 同时 为 多 个 组 播 组 服务 。 

在 图 12-44 中 ，R2 被 指定 为 组 播 组 G 的 RP， 网 络 中 的 所 有 组 播 路 由 器 都 知晓 这 个 
对 应 关系 。 现 在 组 播 源 Source 开始 向 组 播 组 G 发 送 组 播 流 量 。 当 第 一 跳 路 由 器 R1 收 到 
组 播 流量 后 , 会 将 其 封装 在 单 播报 文中 发 往 RP， 这 个 过 程 被 称 为 组 播 源 注册 过 程 。 如 果 
组 播报 文 持续 以 这 种 方式 从 Rl 发 往 RP 显然 是 非常 低 效 的 ， 因 此 如 果 RP 需要 这 些 组 播 
流量 (已 经 有 组 播 路 由 器 向 其 申请 组 播 流 量 ), 那么 接 下 来 它 会 在 自己 与 第 一 跳 路 由 器 之 
间 构 建 一 哥 SPT， 以 便 从 后 者 直接 接收 组 播 流量 〈 而 不 是 被 封装 在 单 播报 文中 的 组 播 流 
量 )。SPT 构建 完成 后 ， 从 Source 发 出 的 组 播 流量 直接 沿 着 SPT 转发 到 RP。 





图 12-44 一 个 PIM-SM 网 络 


RP 收 到 组 播 流 量 后 ， 如 果 网 络 中 没有 任何 接收 者 ， 那 么 这 些 流量 将 直接 被 丢弃 。 现 
在 ，PC1 宣布 加 入 组 播 组 G，R6 发 现 该 组 成 员 后 ， 开 始 朝 着 RP 的 方向 构建 RPT 的 分 支 。 
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它 和 同上 游 邻居 R4 发 送 (*，G) PIM 加 入 报 文 ， 之 所 以 同 R4 发 送 这 个 报 文 ， 是 因为 R6 
通过 查询 自己 的 单 播 路 由 表 发 现 到 达 RP 的 下 一 跳 是 R4， 因 此 它 试图 通过 R4 将 目 己 拉 
到 RPT。R4 收 到 这 个 加 入 报 文 后 , 加 自己 的 上 游 邻 居 R2 发 送 (*, G) PIM 加 入 报 文 (如 
图 12-45 所 示 )， 而 R2 本 身 就 是 RP， 如 此 一 来 ，RPT 的 一 段 分 支 就 构建 好 了 。 





C® PIM 加 入 报 广 


12-45 ”RPT 的 加 入 过 程 


现在 Source 发 出 的 组 播 流 量 到 达 RP 后 ，RP 将 它们 沿 着 RPT 转发 下 去 ， 直 至 流量 
到 达 接 收 者 。 

学 习 完 12.7 节 之 后 ， 我 们 应 该 能 够 掌握 以 下 几 点 。 

e。 理解 PIM-SM 的 特点 及 适用 的 网 络 场景 ; 

。 掌握 PIM-SM 的 基础 工作 机 制 : RPT 的 加 入 过 程 、RPT 的 前 校 过 程 、 源 的 注册 过 
程 、RPT 到 SPT 的 切换 过 程 等 ; 

e。 理解 PIM-SM DR 的 概念 及 作用 ; 

。 掌握 PIM-SM 的 基础 配置 。 


12.7.1 协议 报 文 


PIM-SM 与 PIM-DM 使 用 的 协议 报 文 类 型 有 所 不 同 。 对 于 PIM-SM 而 言 , 使 用 表 12-4 
罗列 的 几 种 类 型 的 报 文 。 


表 12-4 _PIM- SM 们 后 风 记 御 守 守 开 并 
Hello 用 于 1 PIM 邻居 发 现 、 协议 参数 协商 ， 以 及 PIM 邻居 关系 维护 等 


用 于 实现 源 的 注册 过 程 。 这 是 一 种 单 播报 文 ， 在 源 的 注册 过 程 中 ， 
组 播 数 据 被 第 一 跳 路 由 器 封装 在 单 播 注 册 报 文中 发 往 RP 


Register-Stop 〈 注 册 停 止 ) RP 使 用 该 报 文 通知 第 一 跳 路 由 器 停止 通过 注册 报 文 发 送 组 播 流量 
Join/Prune (加 入 /前 枝 ) 加 入 报 文 用 于 加 入 组 播 分 发 树 ， 剪 枝 则 用 于 修剪 组 播 分 发 树 
用 于 BSR 选举 。 另 外 BSR 也 使 用 该 报 文 向 网 络 中 扩散 C-RP 
(Candidate-RP， 候 选 RP) 的 汇总 信息 
Assert〈 上 断言 ) 用 于 断言 机 制 
Candidate-RP-Advertisement | C-RP 使 用 该 报 文 癌 BSR 发 送 通告 ， 报 文中 包含 该 C-RP 的 IP 地 址 
(候选 RP 通告 ) 及 优先 级 等 信息 


Register (注册 ) 


Bootstrap( 自 举 ) 
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12.7.2 ”RPT 加 入 过 程 


PIM-SM 与 PIM- DM 的 工作 方式 不 同 ，PIM-SM 不 会 像 PIM-DM 那样 ， 直 接 将 组 
dd 运行 PIM-SM 的 路 由 器 需要 使 用 PIM 加 入 报 文 构建 RPT 的 分 支 。 
12-46 展示 了 一 个 PIM-SM 组 播 网 络 ， 这 个 网 络 包含 6 台 路 由 器 ， 它 们 都 运行 着 
PIM-SM。R4 及 R6 各 自 连 接着 一 个 终端 网 络 ， 而 R1 则 连接 着 组 播 源 Source， 初 始 情况 
下 ，Source 发 出 的 组 播 流 量 不 会 被 转发 给 网 络 的 任何 分 文 ， 除 非 RPT 已 经 建立 了 起 来 。 





Source 


图 12-46 PIM-SM 组 播 网 络 


下 面 分 析 一 下 RPT 的 加 入 过 程 。 由 于 此 时 网 络 中 的 RPT 没有 任何 分 支 ， 因此 RP 在 
收 到 组 播 流量 后 ， 会 卫 接 将 其 丢弃 。 

(1) PC1 宣告 加 入 组 播 组 239.1.1.87， 它 通过 发 送 IGMP 成 员 关 系 报告 宣告 自己 加 组 ， 
如 图 12-47 所 示 。 


(*, .GG) PIM 加 入 报 广 


IGMP 成 员 关系 报 各 
R4 2 a RG Es 
请 求 加 入 组 请求 加 入 组 
239.1.1.87 : perlite dm 239.1.1.87 
O@ sr hi PC2 


图 12-47 RPT 的 加 入 过 程 
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(2) 最 后 一 跳 路 由 器 R4 收 到 这 个 IGMP 成 员 关 系 报 告 后 在 自己 的 PIM 路 由 表 中 创 
建 (*，239.1.1.87) 表 项 ， 将 收 到 IGMP 报 文 的 接口 添加 到 该 组 播 表 项 的 下 游 接 口 列表 
中 ， 并 朝 着 RP 的 方向 发 送 (*，239.1.1.87) PIM 加 入 报 文 。 值 得 注意 的 是 ， 此 时 网 络 中 
己 经 实现 了 单 播 路 由 的 互通 〈 全 网 的 路 由 器 已 经 运行 了 单 播 路 由 协议 ， 例 如 OSPF )，R4 
在 其 单 播 路 由 表 中 查询 到 达 RP 的 路 由 ， 从 而 得 到 上 游 接 口 ， 以 及 上 游 PIM 邻居 的 地 址 
(也 即 RS 的 接口 卫 地 址 )。 

(3) RS 收 到 了 R4 发 送 的 加 入 报 文 后 ， 知 道 后 者 想 要 加 入 RPT， 于 是 在 其 PIM 路 由 表 . 
中 创建 (*，239.1.1.87) 表 项 ， 然 后 将 收 到 加 入 报 文 的 接口 添加 到 该 表 项 的 下 游 接 口 列表 中 。 
由 于 自己 并 非 RP， 因 此 它 需 要 继续 朝 看 RP 的 方 癌 发 送 (*，239.1.1.87) 加 入 报 文 。 通 过 查 
询 单 播 路 由 表 ，R5 发 现 了 到 达 RP 的 出 接口 ， 于 是 它 同 上 游 邻 居 R3 发 送 加 入 报 文 。 

(4) R3 收 到 了 RS 发 送 过 来 的 加 入 报 文 ， 它 将 创建 (*，239.1.1.87) 表 项 ， 将 收 到 
该 报 文 的 接口 添加 到 表 项 的 下 游 接口 列表 中 ,由 于 它 本 映 束 是 RP， 因此 从 最 后 一 跳 路 由 
器 R4 到 RP 的 这 段 RPT 的 分 文 就 构建 完成 了 。 上 此后， 如果 RP 从 Source 收 到 了 发 往 
239.1.1.87 的 组 播 流量 , 便 开始 向 下 游 接 口 转发 该 组 播 流 量 , 那么 R4 就 能 够 在 RPT 上 接 
收 (*，239.1.1.87) 组 播 流 量 并 将 它们 转发 到 接收 者 所 在 的 接口 。 

(5) 现在 ， 假 设 PC2 也 加 入 组 播 组 239.1.1.87， 于 是 它 发 送 IGMP 成 员 关 系 报告 以 
宣告 自己 加 组 。 

(6) R6 收 到 PC2 发 送 的 成 员 关 系 报 告 后 ， 创 建 (*，239.1.1.87) 表 项 ， 并 且 将 相应 
的 接口 添加 到 该 表 项 的 下 游 接 口 列表 中 ， 然 后 从 上 游 接 口 癌 R5 发送 (*，239.1.1.87) 加 
入 报 文 ， 请 求 加 入 RPT。 

(7) RS 收 到 R6 发 送 的 (*k，239.1.1.87) 加 入 报 文 后 , 发 现 本 地 已 经 存在 (*, 239.1.1.87) 
表 项 ， 于 是 将 接收 该 报 文 的 接口 加 入 到 (*，239.1.1.87) 表 项 的 下 游 接口 列表 中 ， 并 开 
始 将 〈*，239.1.1.87) 组 播 流量 转发 到 这 个 接口 。 图 12-47 清楚 地 摘 述 了 上 述 全 部 过 程 。 

最 终 PIM-SM 构建 起 来 的 RPT 如 图 12-48 所 示 。 当 RP 收 到 Source 发 往 239.1.1.87 
的 组 播 流量 后 ， 便 会 将 该 流量 沿 看 RPT 转发 下 去 。 





Source 
10.1.1.1 


R4 


图 12-48 网 络 中 的 RPT 
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12.7.3 ”RPT 前 枝 过 程 


随 着 RPT 在 网 络 中 逐渐 成 型 , 组 播 流 量 从 RP 沿 着 RPT 回 下 游 转 发 ， 直 至 到 达 每 一 
个 接收 者 所 在 网 段 。 不 在 RPT 上 的 组 播 路 由 器 如 果 需 要 组 播 流量 ， 则 要 朝 着 RP 的 方向 
发 送 PIM 加 入 报 文 ， 而 如 果 已 经 处 于 RPT 上 的 组 播 路 由 器 不 再 需要 组 播 流量 ， 则 要 进 
行 RPT 前 校 过 程 ， 将 目 己 从 RPT 上 修剪 把。 接 下 来 看 看 PC2 及 PC1 相继 离 组 的 过 程 。 

(1) PC2 不 再 是 组 播 组 239.1.1.87 的 成 员 ， 它 将 发 送 IGMP 离 组 报 文 ， 宣 告 自己 离 
开 组 播 组 239.1.1.87。 

(2) R6 收 到 这 个 报 文 后 ， 会 在 接收 报 文 的 接口 上 进行 特定 组 查询 ， 由 于 R6 的 直 连 
网 段 中 并 不 存在 239.1.1.87 组 的 其 他 成 员 ， 因 此 它 将 该 接口 从 组 播 表 项 (*，239.1.1.87) 
的 下 游 接口 列表 中 删除 。 完 成 这 个 操作 后 ，R6 发 现 (*，239.1.1.87) 表 项 的 下 游 接口 列 
表 已 经 为 空 ， 这 意味 着 自己 不 再 需要 (*，239.1.1.87) 的 组 播 流 量 ， 于 是 从 上 游 接 口 发 
送 一 个 〈*，239.1.1.87) 的 PIM 前 校 报 文 ， 试 图 将 目 己 从 RPT 上 剪除 。 

(3) RS 收 到 这 个 前 枝 报 文 后 ， 在 自己 的 〈*，239.1.1.87) 表 项 的 下 游 接 口 列表 中 将 
接收 该 报 文 的 接口 删除 。 执 行 完 这 个 操作 后 ， 由 于 下 游 接口 列表 中 还 有 男 外 的 接口 ， 因 
此 R5 自己 显然 还 需要 (*，239.1.1.87) 组 播 流量 ， 它 将 会 保持 现状 。 

(4) 一 段 时 间 后 ，PC1 也 离开 组 播 组 239.1.1.87， 它 通过 发 送 IGMP 离 组 报 文宣 告 自 
己 离 组 。 

(5) R4 收 到 这 个 报 文 后 ， 针 对 该 组 播 组 进行 查询 ， 查 询 后 发 现 ， 这 个 接口 上 已 经 没 
有 239.1.1.87 组 播 组 的 其 他 成 员 了 ， 因 此 它 将 该 接口 从 〈(*，239.1.1.87) 表 项 的 下 游 接 口 
列表 中 删除 。 完 成 这 个 操作 后 ，R4 发 现 该 表 项 的 下 游 接口 列表 已 经 为 宝 ， 于 是 从 上 游 接 
口 发 送 (*，239.1.1.87) 剪 术 报 文 ， 试 图 将 自己 从 RPT 中 剪除 。 

(6) RS 收 到 这 个 报 文 后 ， 将 接收 该 报 文 的 接口 从 自己 的 〈*，239.1.1.87) 表 项 的 下 
游 接口 列表 中 删除 ， 如 此 一 来 下 游 接 口 列表 也 就 为 室 了 ， 因 此 Rs 从 自己 的 上 游 接口 发 
送 〈*，239.1.1.87) 前 枝 报 文 ， 将 自己 从 RPT 中 剪除 。 

(7) R3 收 到 RS 发 送 的 前 枝 报 文 后 ， 将 接收 该 报 文 的 接口 从 自己 的 (*，239.1.1.87) 
表 项 的 下 游 接 口 列表 中 删除 ， 而 执行 完 这 个 操作 后 ， 它 发 现 该 表 项 的 下 游 接 口 列表 已 经 
为 室 ， 如 此 一 来 ， 网 络 中 当前 已 经 不 存在 RPT 的 任何 分 支 ， 因 此 自己 也 不 再 需要 (*， 
239.1.1.87) 组 播 流量 了 ， 它 将 Source 发 送 过 来 的 〈(*，239.1.1.87) 流量 丢弃 。 

图 12-49 换 述 了 上 述 过 程 。 


12.7.4 ” 源 的 注册 过 程 


我 们 已 经 知道 ， 在 PIM-SM 网 络 中 ，RP 是 非常 关键 的 角色 。 以 RP 为 参考 点 ， 可 以 
将 组 播 网 络 划分 为 两 部 分 ， 一 部 分 是 从 RP 到 接收 者 ， 另 一 部 分 则 是 从 源 到 RP。 组 播 源 
将 组 播 流量 发 往 RP， 而 RP 则 将 组 播 流 量 沿 着 RPT 癌 下 游 转发 ， 组 播 流 量 最 终 到 达 每 
一 个 接收 者 所 在 的 网 段 。 

12.7.2 一 12.7.3 节 讨 论 的 实际 上 是 RP 与 接收 者 之 间 的 这 部 分 网 络 产生 的 活动 ， 无 论 
是 RPT 加 入 还 是 剪 枚 过程 ， 都 是 在 维护 网 络 中 的 RPT。 那 么 对 于 另 一 部 分 ， 也 就 是 组 播 
源 到 RP 之 间 存 在 什么 工作 机 制 ? 组 播 源 是 如 何 将 组 播 流 量 发 送 到 RP 的 ? 这 将 是 本 节 所 
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要 讨论 的 问题 。 
PIM 前 枝 报 文 
ee ee ee em -> 
IGMP 离 组 报 文 
PT 和 
R42 一 R6 
44 2 ” 0 
离开 组 播 组 : : 离开 组 播 组 
0187 me : 239.1.1.87 
i PC PC2 


图 12-49 ”共享 树 前 枝 
以 图 12-50 为 例 ， 本 节 聚 焦 Source 与 RP， 来 看 看 源 的 注册 过 程 。 


(LOL LT 9.1.1.872 
一 人 
@ 于 组 播 流量 


@ 一 > PIM 注 册 报 文 





: 让 
= 239.1.1.87 组 成 员 一 


图 12-50 组 播 源 的 注册 过 程 


(1) 当 组 播 源 Source 开始 向 组 239.1.1.87 发 送 组 播报 文 后 ， 这 些 组 播报 文 首 先 被 第 
一 跳 路 由 器 R1 收 到 ， 后 者 现在 要 将 组 播报 文 发 同 RP。R1 将 启动 一 个 注册 (Register) 
过 程 以 便 将 组 播报 文 送 达 RP。R1 必须 事先 知道 组 播 组 239.1.1.87 与 RP 〈3.3.3.3) 的 映 
射 和 关系， 然后 它 通过 查询 自己 的 单 播 路 由 表 寻 找到 达 RP 的 路 径 。 为 了 确保 组 播报 文 能 
够 准确 到 达 RP，R1 将 其 收 到 的 组 播报 文 进行 封装 ， 它 将 组 播报 文 封 装 在 PIM 注册 报 文 
中 。 注 册 报 文 是 单 播报 文 ， 缺 省 时 其 源 IP 地 址 为 R1 的 接口 IP 地 址 10.1.1.254, 目的 IP 
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地 址 是 RP 的 IP 地 址 3.3.3.3。 图 12-51 展示 了 RI1 发 送 的 某 个 注册 报 文 ， 我 们 能 直观 地 
看 到 该 报 文中 封装 的 组 播报 文 。 


Internet Protoco1，Src: 10.1.1.254 (10.1. 1. SAD. DoE S33 Ts 
Protoco] Independent Multicast 
10 .... = Version: 2 
.。0001 = Type: Register (1) 
Reserved byte(s): 00 
Checksum: Oxdfa3 [incorrect, should be Oxdeff] 组 措 报 驻 
s PIM parameters 
A 0x00000000 
Byam >z st borgdoer 
和 .。= Not Nu11-Register 
s Internet Protoco1 ， Src: 10. 1. 了 1 《10. 1. .2 Dytr 239. -487 239:.:E.87) 
suUser Datagram protoco], Src Port: edm-adm-notify (3463), Dst Port: 0 (C0) 
a Data (1328 bytes) 


图 12-51 RI1 发 出 的 单 播 PIM 注册 报 文 





”很 多 读者 可 能 并 不 理解 ， 为 什么 Ri 不 直接 将 组 播报 文 转发 到 RP ， 而 是 采用 注 
册 的 方式 ， 将 组 播报 文 封装 之 后 再 通过 单 播 的 形式 发 送 给 RP? 设想 一 下 ，R1 是 要 将 组 
播报 文 转发 到 RP, 如 果 它 采用 扩散 的 方式 , 将 组 播报 文 直接 推送 出 去 , 显然 是 不 合适 的 ， 
因为 这 些 报 文 的 目的 地 非常 明确 ， 就 是 RP。 而 如 果 将 组 播报 文 沿 着 R1 与 RP 之 间 的 一 
条 最 优 路 径 (在 Rl 与 RP 之 间 事 先 建立 一 条 组 播 分 发 树 的 分 支 ) 来 传递 ， 这 也 是 无 法 办 
到 的 ， 因 为 在 Source 发 送 组 播 流 量 之 前 ，RP 并 不 知道 组 播 源 的 所 在 ， 因 此 不 可 能 事先 
建立 一 段 组 播 分 发 树 的 分 支 。 


(2) 封装 着 组 播报 文 的 注册 报 文 被 R1 发 送 给 R2， 再 被 R2 转发 到 R3 【实际 上 对 于 
R2 而 言 ， 这 只 是 一 个 发 往 R3 的 普通 单 播报 文 )， 现 在 报 文 达 到 了 RP。 

(3) RP 将 注册 报 文 解 封 装 ， 得 到 里 面 的 组 播报 文 ， 它 将 这 个 组 播报 文 沿 着 RPT 转 
发 下 去 《假设 当前 RPT 已 经 建立 完成 ，PC1 是 组 播 组 239.1.1.87 的 成 员 )。 

正如 前 面 所 说 ， 第 一 跳 路 由 器 R1 将 Source 发 送 的 组 播报 文 封装 在 单 播报 文中 发 往 
RP 实际 上 是 一 个 无 奈 的 办 法 。 然 而 ，Source 发 送 的 组 播报 文 会 源源 不 断 地 被 R1 收 到 ， 
如 果 R1 对 每 一 个 收 到 的 组 播报 文 都 封装 成 注册 报 文 发 往 RP， 这 显然 是 非常 低 效 的 ， 而 
且 也 加 重 了 R1 及 RP (RP 需要 对 每 一 个 注册 报 文 进行 解 封装 ) 的 负担 。 实 际 上 ， 当 RP 
收 到 第 一 个 注册 报 文 并 成 功 解 封装 后 ， 它 就 已 经 知道 了 组 播 源 Source 的 IP 地 址 。 因 此 
按照 我 们 之 前 的 分 析 ， 此 时 RP 完全 具备 了 在 上 自己 与 组 播 源 之 间 建 立 组 播 分 发 树 的 条 件 。 

(4) RP 在 自己 的 单 播 路 由 表 中 查询 到 达 Source 的 路 径 及 出 接口 ， 然 后 朝 着 Source 
的 方 同 发 送 (10.1.1.1，239.1.1.87) PIM 加 入 报 文 ， 试 图 在 自己 与 源 之 间 构 建 一 棵 SPT。 
这 个 加 入 报 文 被 RP 发 往 自己 的 上 游 邻居 R2， 如 图 12-52 所 示 。 

(5) R2 收 到 这 个 (10.1.1.1，239.1.1.87〉 加 入 报 文 后 ， 创 建 (10.1.1.1，239.1.1.87) 
表 项 ， 并 将 接收 该 报 文 的 接口 添加 到 下 游 接 口 列表 中 ， 然 后 继续 向 自己 的 上 游 邻 居 RI 
发 送 (10.1.1.1，239.1.1.87) 加 入 报 文 。 

(6) R1 收 到 R2 发 送 的 (10.1.1.1，239.1.1.87) 加 入 报 文 后 ， 将 接收 该 报 文 的 接口 
添加 到 〈10.1.1.1，239.1.1.87) 表 项 的 下 游 接 口 列表 中 。 如 此 一 来 ，R1 到 RP 之 间 的 SPT 
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束 构 建 完成 了 。 







(10.1.1.1, 239.1.1.87) 
二 人 得 全 


R4 R6 


= PC1 i PC2 


图 12-52 RP 与 Source 之 间 SPT 的 形成 


(7) 现在 ， 当 Rl1 再 收 到 Source 发 往 239.1.1.87 的 组 播报 文 时 ， 由 于 (10.1.1.1， 
239.1.1.87) 表 项 的 下 游 接 口 列表 为 非 空 ， 因 此 R1 将 组 播报 文 从 下 游 接 口 转发 出 去 。 男 
一 方面 ，R1 依然 将 组 播报 文 封装 在 注册 报 文中 ， 通 过 单 播 的 方式 发 往 RP。 

(8) R2 收 到 Rl1 发 送 的 组 播报 文 后 ， 发 现 组 播报 文 是 在 (10.1.1.1，239.1.1.87) 表 
项 的 上 游 接口 到 达 , 因此 该 报 文通 过 了 RPF 检查 , R2 将 其 从 自己 的 下 游 接 口 转发 给 R3。 
而 单 播 的 注册 报 文 也 会 被 R2 转发 给 R3 

(9) 此 时 对 于 R3 而 言 ， 一 方面 全 在 SPT 上 收 到 (10.1.1.1，239.1.1.87) 组 播报 文 ， 
男 一 方面 对 注册 报 文 解 封装 后 ， 又 会 得 到 同一 组 播报 文 的 男 一 份 拷贝 ,这 是 两 份 相同 的 
组 播报 文 ， 显 然 ， 这 是 没有 意义 的 。 实 际 上 由 于 SPT 已 经 构建 完成 ，RP 已 经 能 够 直接 
从 SPT 接收 组 播 流 量 ， 因 此 R1 没有 必要 再 将 组 播报 文 封 装 在 注册 报 文 中 发 往 RP。RP 
通过 问 R1 发 送 一 个 PIM 注册 停止 报 文 ， 以 便 让 R1 停止 同 其 发 送 注册 报 文 。 

(10) Rl 收 到 注册 停止 报 文 后 ， 不 再 将 组 播报 文 封装 在 注册 报 文中 发 往 RP。 于 是 ， 
组 播报 文 只 是 顺 着 SPT 从 RI1 转发 到 RP 


12.7.5 ”RPT 到 SPT 的 切换 过 程 


在 图 12-53 中 ，PC1 是 组 播 组 239.1.1.87 的 接收 者 ，R4 在 自己 与 RP 之 间 建 立 了 一 
段 RPT 的 分 文 , 而 RP 则 在 自己 与 Rl 之 间 建 立 了 SPT。 如 此 一 来 , 组 播 流量 将 从 Source 
发 出 ， 沿 着 SPT 先 到 达 RP， 然 后 由 RP 将 组 播 流 量 沿 着 RPT 转发 下 去 。 细 心 的 读者 可 
能 已 经 发 现 了 这 里 存在 的 问题 : 网 络 中 组 播 流 量 的 转发 路 径 并 非 最 优 ， 组 播 流量 从 RIl 
出 发 ， 流 经 R2， 然 后 到 R3， 再 到 RS， 这 实际 上 是 一 条 次 优 路 径 ， 一 个 更 优 的 方案 是 ， 
组 播 流 量 到 达 R2 后 ， 直 接 被 转发 给 R5， 而 不 用 从 RP 绕 一 下 。 网 络 中 存在 的 男 一 个 问 
题 是 ， 所 有 的 组 播 流量 都 需 先 经 由 RP 进行 分 发 ， 当 流量 特别 大 时 ，RP 的 负担 将 变 得 非 
弟 重 ， 当 然 也 就 容易 引发 故障 。 
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Ri 10.1.1.1 


SPT 


R6 


pe 过 PC2 


图 12-53 ”网 络 中 存在 SPT 以 及 RPT 


R4 


PIM-SM 的 SPT 切换 机 制 可 以 很 好 地 解决 这 个 问题 。 以 图 12-53 中 的 R4 为 例 ， 当 
其 在 RPT 上 收 到 组 播报 文 时 ， 便 立即 知晓 了 组 播 源 的 卫 地 址 〈 也 就 是 该 报 文 的 源 卫 地 
址 )， 既 然 已 经 知道 了 组 播 源 的 IP 地 址 ， 那 么 R4 便 可 以 在 自己 与 组 播 源 之 间 建 立 一 段 
SPT 的 分 支 ， 然 后 通过 该 SPT 的 分 支 直接 从 Source 获取 组 播 流 量 ， 由 于 该 SPT 分 文 是 
直接 建立 在 自己 与 Source 之 间 的 ， 因 此 接收 组 播 流量 的 路 径 必 定 是 最 优 的 。 

值得 注意 的 是 ，SPT 切换 机 制 是 发 生 在 与 组 播 接收 者 直 连 的 最 后 一 跳 路 由 右上 的 。 
缺 省 时 , R4 在 RPT 上 收 到 第 一 份 组 播报 文 后 立即 触发 SPT 切换 , 具体 过 程 如 下 (图 12-54 
描述 了 这 个 过 程 )。 

《0 .11 239,1.187) 
PIM 加 入 报 文 


一 := 





R4 


图 12-54 ” R4 触发 SPT 切换 


(1) 组 播报 文 沿 看 RPT 到 达 最 后 一 跳 路 由 占 R4，R4 收 到 组 播报 文 后 ， 它 便 知 晓 了 
Source 的 地 址 ， 它 将 立即 启动 SPT 切换 (可 以 通过 在 R4 上 设置 组 播 流量 的 速率 闻 值 ， 
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使 得 当 组 播 流量 的 速率 达到 指定 的 阔 值 后 ， 才 触发 SPT 切换 。 缺 省 时 ， 最 后 一 跳 路 由 器 
只 要 一 收 到 组 播报 文 ， 便 立即 进行 SPT 切换 )。R4 朝 厦 Source 的 方 同 发 送 (10.1.1.1， 
239.1.1.87) 的 PIM 加 入 报 文 。 

(2) 上 游 邻 居 RS 收 到 R4 的 〈10.1.1.1，239.1.1.87) 加 入 报 文 后 ， 将 接收 该 报 文 的 
接口 添加 到 (10.1.1.1，239.1.1.87) 表 项 的 下 游 接 口 列表 中 。 然 后 在 单 播 路 由 表 中 查询 到 
达 Source 的 路 由 ， 明 确 了 到 达 Source 的 出 接口 及 下 一 跳 IP 地 址 后 ，R5 向 上 游 邻 大 R2 
发 送 (10.1.1.1，239.1.1.87) 加 入 报 文 。 

(3) R2 此 时 已 经 存在 (10.1.1.1，239.1.1.87) 表 项 ， 它 将 收 到 加 入 报 文 的 接口 添加 
到 该 表 项 的 下 游 接 口 列表 中 。 现 在 ，R2 的 (10.1.1.1，239.1.1.87) 表 项 的 下 游 接 口 列表 
存在 两 个 接口 ， 一 个 是 连接 RP 的 接口 ， 另 一 个 则 是 连接 R5 的 接口 。 当 它 再 从 R1 接收 
(10.1.1.1，239.1.1.87) 组 播 流量 时 ， 便 会 将 该 流量 从 这 两 个 下 游 接 口 转发 出 去 。 此 时 网 
络 中 的 组 播 分 发 树 如 图 12-55 所 示 。 





图 12-55 网络 中 的 组 播 分 发 树 


(4) 由 于 R5 此 刻 已 经 处 于 SPT 上， 同时， 它 还 在 RPT 上 ， 因 此 它 会 分 别 在 SPT 及 
RPT 上 收 到 重复 的 组 播 流量 ， 这 显然 是 多 余 的 。 因 此 ，R5 会 开始 进行 RPT 修 前 过程 ， 将 
自己 从 RPT 上 剪除 。 当 RS5 开始 在 SPT 上 收 到 R2 转发 过 来 的 (10.1.1.1，239.1.1.87) 组 
播 流量 后 ，R5 将 朝 着 RP 的 方向 发 送 一 个 特殊 的 〈10.1.1.1，239.1.1.87) 前 枝 报 文 ， 试 图 
将 自己 从 RPT 上 前 除 。 该 前 枝 报 文中 设置 了 RP 比特 位 ， 这 个 前 枝 报 文 会 一 路 发 往 RP。 

(5) R3 收 到 RS 发 送 的 〈10.1.1.1，239.1.1.87) 前 枝 报 文 后 ， 将 接收 报 文 的 接口 从 
(10.1.1.1，239.1.1.87) 表 项 的 下 游 接 口 列表 中 删除 。 完 成 这 个 操作 后 ，R3 发 现 此 时 该 表 项 的 
下 洲 接 口 列表 已 经 为 空 ， 这 意味 着 自己 不 再 需要 从 SPT 上 接收 组 播 组 239.1.1.87 的 组 播 流量 ， 
因此 它 朝 着 Source 的 方向 发 送 (10.1.1.1，239.1.1.87) 前 枝 报 文 ， 试 图 将 自己 从 SPT 上 剪除。 

(6) R2 收 到 R3 发 送 的 〈10.1.1.1，239.1.1.87) 前 枝 报 文 后 ， 将 接收 该 报 文 的 接口 
从 《10.1.1.1，239.1.1.87) 表 项 的 下 游 接口 列表 中 删除 。 到 目前 为 止 ， 该 网 络 中 的 组 播 分 
发 树 已 经 完成 刷新 。 组 播 流量 将 沿 着 SPT 从 Source 流向 PC1。 
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12.7.6 PIM-SM DR 


在 图 12-56 中 ， 假 设 网 络 中 已 经 部 署 了 PIM-SM，R1 及 R2 都 连接 到 了 同一 台 交 换 
机 上 ， 两 台 路 由 器 的 GE0/0/0 接口 处 于 同一 个 广播 域 并 且 使 用 相同 的 卫 网 段 。 当 组 播 源 
Source 开始 同 网 络 中 发 送 组 播 流 量 时 ，R1 及 R2 都 将 在 它们 的 GE0/0/0 接口 上 收 到 这 些 
流量 。 在 这 个 拓扑 中 ，R1 及 R2 都 是 直 连 组 播 源 的 第 一 跳 路 由 器 ， 设 想 一 下 ， 如 果 在 收 
到 组 播 流量 后 ， 二 者 都 向 RP 发 起 注册 过 程 ， 那么 RP 将 收 到 重复 的 组 播 流量 ， 这 不 仅 没 
有 意义 ， 而 且 还 造成 了 设备 资源 及 网 络 带 宽 的 浪费 。 另 一 边 的 Rs 及 R6 也 存在 问题 ， 这 
两 台 路 由 器 的 GE0/0/1 接口 ， 以 及 组 播 接收 者 PC1 都 连接 到 了 同一 台 交 换 机 ， 当 PC1 需 
要 组 播 流 量 时 ， 它 会 向 网 络 中 发 送 IGMP 成 员 关 系 报 告 以 宣告 自己 加 组 ，R5 及 R6 都 会 
收 到 这 个 IGMP 报 文 。 由 于 R5 及 R6 都 是 直 连 痢 组 成 员 的 最 后 一 跳 路 由 器 ， 设 想 一 下 ， 
如 果 两 者 都 执行 RPT 加 入 过 程 ， 都 朝 着 RP 的 方向 发 送 PIM 加 入 报 文 , 那么 造成 的 结果 
是 R5 及 R6 都 将 与 RP 建立 一 段 RPT 的 分 文 ， 而 组 播 流 量 将 沿 着 这 两 段 分 文 分 别 到 达 
RS 及 R6， 当 然 ， 初 始 时 R5 及 R6 都 会 将 组 播 流 量 从 上 自己 的 GEO/OV1 接口 发 出 ， 而 后 启 
动 断言 机 制 ， 假 设 Rs 在 断言 机 制 中 落 败 ， 它 便 会 将 目 己 从 RPT 上 剪除 。 实 际 上 ， 对 于 
RS 及 R6 而 言 ， 只 需 一 台 路 由 器 《例如 R6) 启动 RPT 加 入 机 制 即 可 。 

PIM 设计 了 DR 来 解决 上 述 问 题 。DR 主要 用 于 以 下 两 种 场景 。 

(1) 组 播 源 所 在 网 段 中 的 DR 负责 向 RP 发 起 组 播 源 注册 过 程 ; 

(2) 组 成 员 所 在 网 段 中 的 DR 负责 向 RP 发 起 RPT 加 入 过 程 。 

在 图 12-57 中 ， 组 播 源 Source 所 在 的 网 段 中 连接 着 两 台 第 一 跳 路 由 器 : R1 及 R2， 
这 两 台 路 由 器 的 GE0/0/0 接口 都 已 经 激活 了 PIM，PIM 将 在 该 网 段 中 选 出 一 台 DR。 如 
果 R2《〈 的 GE0/0/0 接口 ) 胜出 成 为 该 网 段 的 DR， 那 么 当 Source 开始 发 送 组 播 流量 时 ， 
将 由 R2 回 RP 发 送 注册 报 文 、 局 动 注 册 过 程 ， 而 R1 (的 GE0/0/0 接口 ) 由 于 在 DR 选 
举 中 落 败 ， 因 此 不 向 RP 发 起 注册 过 程 。 


部 Source 


GE0O/0/0 GEO/0/0 GE0/0/0 DR 










GEO/0/0 


Ri R2 RI1 


R4 (RP) R3 ER4 (RP) 


RS R6 RS 


GEO/0/]l GEO/O/1 





图 12-56 ”组 播 源 及 组 播 接收 者 所 在 的 网 段 中 图 12-57 组 播 网 络 中 的 DR 
接 入 了 多 台 组 播 路 由 器 


a pC1 
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男 一 方面 ，R5 的 GE0/0/1 接口 、R6 的 GE0/0/11 接口 与 组 成 员 处 于 同一 个 网 段 ， 如 
果 R6 (的 GEO/OV1 接口 ) 胜出 成 为 该 网 段 的 DR， 那 么 当 PC1 宣告 加 入 组 播 组 时 ， 将 由 
R6 问 RP 发 送 加 入 报 文 、 执 行 RPT 加 入 过 程 。 

DR 的 选举 依赖 于 PIM 的 Hello 报 文 ， 当 设备 的 接口 激活 PIM 后 ， 该 接口 便 开 始 
发 送 Hello 报 文 ，PIM 使 用 Hello 报 文 发 现 并 建立 邻居 关系 ，Hello 报 文 中 携 市 痢 接 口 
的 DR 优先 级 以 及 IP 地 址 等 信息 。 当 设备 在 接口 上 收 到 其 他 邻居 发 送 过 来 的 Hello 报 
文 后 ， 便 会 将 自己 的 DR 优先 级 和 IP 地 址 与 报 文中 的 内 容 进 行 比 较 ， 从 而 选举 出 该 网 
段 中 的 DR。 

DR 的 选举 规则 如 下 。 

(1) 当 网 络 中 的 设备 都 支持 DR 优先 级 时 ，DR 优先 级 最 高 的 设备 《的 接口 ) 将 胜 
出 成 为 该 网 段 的 DR。DR 优先 级 的 值 越 大 ， 则 优先 级 越 高 。 

(2) 如 果 DR 优先 级 相同 ， 或 者 接 入 该 网 段 的 设备 中 至 少 有 一 人 台 设 备 不 支持 在 Hello 
报 文中 携带 DR 优先 级 ， 那 么 接口 IP 地 址 最 大 的 设备 将 成 为 该 网 段 的 DR。 


要 加 果 设 备 收 到 邻居 发 来 的 Hello 报 文 后 , 发 现 该 报 文中 并 未 携带 DR 优先 级 字段 ， 
它 将 意识 到 对 方 不 支持 DR 优先 级 ， 此 时 它 将 不 再 使 用 自己 的 DR 优先 级 与 对 方 进行 竞 
争 ， 而 是 采用 接口 IP 地 址 与 对 方 的 IP 地 址 进行 比较 ，IP 地 址 更 大 者 胜出 。 

DR 的 角色 是 可 抢占 的 ， 这 意味 着 ， 如 果 一 个 网 段 中 已 经 存在 DR， 而 后 又 出 现 了 一 
台新 的 设备 ， 且 该 设备 的 接口 DR 优先 级 要 高 于 当前 DR， 屠 么 它 将 会 抢占 其 角色 ， 成 
为 该 网 段 的 新 DR。 华 为 网 络 设备 缺 省 的 接口 DR 优先 级 值 为 1， 当然 ， 这 是 可 以 通过 命 
令 修改 的 (可 在 接口 视图 下 使 用 pim hello-option dr-priority 命令 修改 该 接口 的 DR 优先 
级 )， 为 了 保证 一 个 网 段 中 DR 角色 的 稳定 ， 建 议 根 据 网 络 实际 情况 选择 DR 设备 ， 并 将 
该 设备 的 接口 DR 优先 级 调 高 。 

值得 一 提 的 是 ，DR 主要 在 PIM-SM 中 被 使 用 。PIM-DM 与 PIM-SM 的 工作 机 制 大 
不 相同 ，DR 在 PIM-DM 中 并 没有 太 多 的 意义 。 在 PIM-DM 中 ，DR 仅 有 一 种 作用 ， 那 
便 是 作为 IGMPv1 查询 器 。 读 者 已 经 知晓 了 IGMP 查询 器 的 概念 及 其 意义 , 由 于 IGMPvl 
标准 并 没有 定义 查询 器 的 选举 办 法 ， 因 此 它 不 得 不 求助 于 组 播 协 议 ， 例 如 PIM。 当 网 络 
中 运行 IGMPv1l 时 ，PIM 选举 出 的 DR 将 会 成 为 IGMPv1 查询 器 。 


12.7.7 案例 1: PIM-SM 基础 配置 


在 图 12-58 中 ，R1、R2、R3 及 R4 运行 了 OSPF， 使 得 每 台 路 由 需 都 了 解 了 到 达 
全 网 的 路 由 。Source 是 组 播 组 239.1.1.93 的 源 ， 而 PC 是 该 组 播 组 的 接收 者 。 现 在 需 在 
网 络 中 部 署 PIM-SM， 使 得 Source 开始 向 239.1.1.93 发 送 组 播 流量 后 ，PC 能 够 收 到 这 

R3 被 规划 为 该 网 络 的 RP， 其 Loopback0 接口 地 址 为 3.3.3.3/32， 这 个 卫 地 址 将 作 
为 RP 的 地 址 ， 本 案例 使 用 手工 配置 的 方式 告知 每 台 组 播 路 由 器 关于 RP 的 IP 地址， 这 
种 RP 发 现 方式 被 称 为 静态 RP。 当 然 ，R3 的 Loopback0 接口 地 址 需要 在 OSPF 中 发 布 ， 
以 便 所 有 的 组 播 路 由 器 都 能 通过 OSPF 发 现 到 达 RP 的 路 由 。 
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图 12-58 ”PIM-SM 基础 配置 


R1 的 配置 如 下 : 
[Rljmulticast routing-enable | 
[Rl]linterface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0]pim sm 
[R1-GigabitEthernetO/0/0]quit 

‘ [Rl]interface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]pim sm 
[R1-GigabitEthernet0/0/1]quit 


[Rllpim 

[Rl-pimlstatic-rp 3.3.3.3 

R2 的 配置 如 下 : 
[R2]multicast routing-enable 
[R2|]interface GigabitEthernet 0/0/0 
[R2-GigabitEthernet0/0/0]pim sm 
[R2-GigabitEthernet0/0/0]quit 
[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/11pim sm 
[R2-GigabitEthernet0/0/1]quit 
[R21]interface GigabitEthernet 0/0/2 
[R2-GigabitEthernet0/0/2]pim sm 
[R2-GigabitEthernet0/0/2]quit 


[R2]pim 
[R2-pim]static-rp 3.3.3.3 


R3 的 配置 如 下 : 


[R3]multicast routing-enable 
[R3]interface GigabitEthernet 0/0/1 
[R3-GigabitEthernet0/0/1]pim sm 
[R3-GigabitEthermet0/0/1]quit 
[R3Jinterface GigabitEthernet 0/0/2 
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[R3-GigabitEthernet0/0/2]pim sm 
[R3-GigabitEthernet0/0/2]quit 


[R3]pim 

[R3-pimjstatic-rp 3.3.3.3 

R4 的 配置 如 下 : 
[R4]multicast routing-enable 
[R4jinterface GigabitEthernet 0/0/1 
[R4-GigabitEthernet0/0/1]pim sm 
[R4-GigabitEthernet0/0/1]9guit 
[R4jinterface GigabitEthernet 0/0/2 
[R4-GigabitEthermet0/0/2]pim sm 
[R4-GigabitEthernet0/0/2]quit 
[R4jinterface GigabitEthernet 0/0/0 
[R4-GigabitEthermmet0/0/0]pim sm 
[R4-GigabitEthernet0/0/0]igmp enable 
[R4-GigabitEthernet0/0/0]quit 


[R4]pim 
[R4-pim]static-rp 3.3.3.3 


在 上 述 配置 中 ，PIM 视图 内 执行 的 static-rp 3.3.3.3 命令 用 于 手工 指定 RP 的 地 址 ， 
这 种 RP 发 现 方式 相对 而 言 比较 人 简单, 但 是 存在 一 定 的 缺陷 ， 即 如 果 RP 的 地 址 发 生 了 变 
更 ， 网 络 管理 员 就 必须 在 所 有 的 组 播 路 由 器 上 手工 修改 RP 地 址 。 而 且 如 果 网 络 要 求 RP 
发 生 故 障 时 实现 动态 切换 ， 那 么 静态 RP 的 方式 就 无 法 胜任 了 ， 此 时 可 以 使 用 动态 RP， 
本 书 将 在 后 续 的 内 容 中 介绍 动态 RP。 

接口 视图 下 执行 的 pim sm 命令 用 于 在 接口 上 激活 PIM-SM, 接口 一 旦 激活 PIM-SM， 
便 会 开始 发 送 PIM Hello 报 文 。 

完成 上 述 配 置 后 ， 首 先 检 查 一 下 各 台 路 由 器 的 PIM 邻居 表 ， 以 R4 为 例 ， 其 PIM 邻 
居 表 如 下 : 

<R4>display pim neighbor 


VPN-Instance: public net 
Total Number of Neighbors = 2 


Neighbor Interface Uptime Expires Dr-Priority BFD-Session 
10.1.24.2 GEO0/0/1 00:06:32 00:01:43 1 N 
10.1.34.3 GE0/0/2 00:06:16 00:01:20 ] 


N 
R4 已 经 在 其 GE0/0/1 及 GE0/0/2 接口 上 各 发 现 了 一 个 PIM 邻居 。 所 有 的 PIM 路 由 
器 之 间 需 根据 需要 建立 正确 的 PIM 邻居 关系 。 
此 外 ， 使 用 display pim rp-infor 命令 ， 可 以 看 到 路 由 器 所 发 现 的 RP 在 一 个 大 型 
网 络 中 ，RP 可 能 不 止 一 个 )， 以 R4 为 例 : 
<R4>display pim rp-info 
VPN-Instance: public net 


PIM SM static RP Number: 1 
Static RP: 3.3.3.3 


而 使 用 display pim rp-info 239.1.1.93 命令 , 则 可 以 查看 组 播 组 239.1.1.93 映射 的 RP。 
在 本 例 中 ，R3 作为 RP 面向 所 有 的 组 播 组 服务 ， 因 此 任意 的 组 播 组 对 应 的 RP 都 是 R3。 
现在 , 假设 PC 开始 加 入 组 播 组 239.1.1.93, 它 将 向 网 络 中 发 送 IGMP 成 员 关 系 报告 ， 
以 宣告 自己 加 组 ，R4 将 在 目 己 的 GE0/0/0 接口 上 收 到 这 些 IGMP 报 文 ， 并 创建 IGMP 路 


第 12 章 组 播 577 


由 表 项 。 此 外 ，R4 还 会 创建 (*，239.1.1.93) 的 PIM 路 由 表 项 ， 并 将 GE0/0/0 接口 添加 
到 该 表 项 的 下 游 接 口 列表 中 。R4 在 其 单 播 路 由 表 中 查询 到 达 RP 〈3.3.3.3) 的 路 由 ， 它 
发 现 了 一 条 匹配 的 路 由 : 


<R4>display ip routing-table 3.3.3.3 


一 -一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Routing Table : Public 
Summary Count; 1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.3.3.3/32 OSPF i | D 10.1.34.3 GigabitEthernet0/0/2 


因此 它 将 GE0/0/2 接口 指定 为 (*，239.1.1.93) 表 项 的 上 游 接 口 ， 然 后 从 上 游 接 口 
发 送 PIM 加 入 报 文 。 
此 时 R4 的 PIM 路 由 表 项 如 下 : 


<R4>display pim routing-table 
_ VPN-Instance: public net 
Total 1 (*, G) entry; 0 (S$, G) entry 


(*, 239.1.1:93) 
RR 933 
~ Protocol: pim-sm, Flag: WC 
UpTime: 00:00;03 
Upstream interface: GigabitEthernet0/0/2 
Upstream neighbor: 10.1.34.3 
RPF prime neighbor: 10.1.34.3 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: GigabitEthernet0/0/0 
Protocol igmp, UpTime: 00:00;03, Expires; - 
上 游 PIM 邻居 R3 收 到 R4 发 送 的 加 入 报 文 后 ， 创 建 PIM 路 由 表 项 ， 将 其 收 到 该 报 
文 的 接口 GE0/0/2 添加 到 该 表 项 的 下 游 接 口 列表 中 ， 由 于 它 上 自己 就 是 RP， 因 此 无 需 再 发 
送 加 入 报 文 。 此 时 R3 的 PIM 路 由 表 如 下 : 
<R3>display pim routing-table 
VPN-Instance: public net 
Total 1 (*, G) entry; 0 (S, G) entry 


(® 239.1,1,93) 
RP: 3.3.3.3 (local) 
Protocol: pim-sm, Flag: WC 
UpTime: 00:;02:02 
Upstream interface: Register 
Upstream neighbor: NULL 
RPF prime neighbor: NULL 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: GigabitEthernet0/0/2 
Protocol: pim-sm, UpTime: 00:02:02, Expires: 00:03:28 
由 于 到 目前 为 止 ， 暂 时 未 有 组 播 源 向 该 RP 注册 ， 因 此 ， 此 时 上 游 接口 依然 为 空 。 
现在 ，Source 开始 向 组 播 组 239.1.1.93 发 送 组 播 流 量 ， 第 一 跳 路 由 器 R1 将 在 其 GE0/0/0 
接口 上 收 到 这 些 流量 ， 随 后 立即 开始 注册 过 程 。 
R1 将 首先 在 单 播 注册 报 文中 封装 这 些 组 播报 文 ， 将 它们 发 往 RP。R3 解 封装 这 些 报 
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文 后 , 将 组 播报 文 沿 着 RPT 问 下 游 转发 。 随 后 R3 立即 朝 着 Source 的 方向 发 送 (10.1.1.1， 
239.1.1.93) 加 入 报 文 ， 试 图 在 目 己 与 Rl 之 间 建 立 一 段 SPT 的 分 支 , 一 棵 途经 R3、R2、 
R1 的 SPT 将 会 建立 起 来 ， 组 播 流 量 将 沿 大 这 棵 SPT 发 往 RP。 

在 SPT 上 收 到 组 播 流量 后 , R3 将 立即 向 Rl 发 送 注册 停止 报 文 以 停止 源 的 注册 过 程 。 
源 向 RP 注册 的 过 程 发 生得 非常 快 ， 在 Source 开始 发 送 组 播 流量 之 后 的 极 短 时 间 内 ，R3 
与 R1 之 间 的 SPT 分 支 就 已 经 建立 好 了 。 此 外 ，R4 作为 最 后 一 跳 路 由 器 ， 当 其 在 RPT 
上 收 到 RP 转发 过 来 的 第 一 个 目的 地 址 为 239.1.1.93 的 组 播报 文 时 ，R4 将 首先 对 该 报 文 
进行 RPF 检查 。 值 得 注意 的 是 ， 由 于 此 时 R4 依然 在 RPT 上 ， 针 对 自己 在 RPT 上 接收 
的 组 播 流 量 ，R4 将 会 在 其 单 播 路 由 表 中 查询 到 达 RP 的 路 由 ， 并 将 路 由 的 出 接口 作为 
RPF 接口 (图 中 的 GE0/0/2)。 由 于 组 播报 文 的 确 是 在 正确 的 接口 上 收 到 的 ， 因 此 报 文通 
过 RPF 检查 ，R4 将 其 转发 到 下 游 接 口 GE0/0/0。 与 此 同时 ， 由 于 设备 缺 省 从 RPT 收 到 
第 一 个 组 播 数据 包 后 立即 进行 SPT 切换 ， 因 此 R4 立即 在 单 播 路 由 表 中 查询 到 达 Source 
的 路 由 ， 将 到 达 Source 的 路 由 的 出 接口 GE0/0/1 指定 为 (10.1.1.1，239.1.1.93) 表 项 的 
上 游 接 口 ， 并 从 该 接口 向 上 游 发 送 (10.1.1.1，239.1.1.93) 加 入 报 文 ， 试 图 在 自己 与 源 之 
间 建 立 一 段 SPT 的 分 支 。R2 将 在 其 GE0/0/2 接口 上 收 到 这 个 报 文 ， 由 于 它 已 经 存在 
(10.1.1.1，239.1.1.93) 表 项 ， 因 此 它 将 接口 GE0/0/2 添加 到 该 表 项 的 下 游 接 口 列表 中 ， 
并 开始 向 该 接口 转发 (10.1.1.1，239.1.1.93) 组 播 流 量 。 当 R4 开始 在 其 GE0/0/1 接口 上 
接收 (10.1.1.1，239.1.1.93) 组 播 流 量 时 ， 它 立即 发 起 RPT 修剪 过 程 ， 将 自己 从 RPT 上 
前 除 。 实 际 上 ， 在 网 络 中 发 生 的 RPT 到 SPT 的 切换 过 程 也 是 非常 迅速 的 ， 因 此 读者 想 
要 观察 到 相关 过 程 可 能 同样 困难 。 

网 络 稳 定 后 ， 观 察 一 下 各 设备 的 PIM 组 播 表 项 : 

<R4>display pim routing-table 


VPN-Instance: public net 
Total 1 (*, G) entry; ] (S, G) entry 


(*, 239.1.1.93) 
了 了 本 33.3 
Protocol: pim-sm, Flag: WC 
UpTime: 03:33:48 
Upstream interface: GigabitEthernet0/0/2 
Upstream neighbor: 10.1.34.3 
RPF prime neighbor: 10.1.34,3 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: GigabitEthernet0/0/0 
Protocol: igmp, UpTime'; 03:33:48, Expires: - 


(10.1.1.1, 239.1.1.93) 

RP: 3.3.3.3 

Protocol: pim-sm, Flag: RPT SPT ACT 

UpTime: 01:17:15 

Upstream interface: GigabitEthermet0/0/] 
Upstream neighbor: 10.1.24.2 
RPF prime neighbor: 10.1.24.2 

Downstream interface(s) information: 

Total number of downstreams: 1 
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1: GigabitEthernet0/0/0 
Protocol: pim-sm, UpTime: 01:17:15, Expires: - 

R4 的 PIM 组 播 路 由 表 如 上 所 示 ， 我 们 看 到 它 既 存在 〈*，239.1.1.93) 表 项 ， 也 存在 
(10.1.1.1, 239.1.1.93) 表 项 。 实际 上 ， 当 前 用 于 指导 组 播 数 据 转发 的 是 (10.1.1.1, 239.1.1.93) 
表 项 ， 该 表 项 中 的 ACT 标志 意味 着 这 是 一 个 已 经 有 数据 到 达 的 组 播 表 项 。 

缺 省 情况 下 , 与 组 播 组 接收 者 直 连 的 DR 在 RPT 上 收 到 第 一 份 组 描 报 文 语 便 会 立即 
触发 RPT 到 SPT 的 切换 过 程 ， 正 如 本 闻 中 的 例子 ，R4 作为 DR， 当 其 在 RPT 上 收 到 第 
一 份 组 播报 文 后 ， 立 即 随 着 Source 的 方 癌 发 送 〈10.1.1.1，239.1.1.93) 加 入 报 文 。 实 际 
上 ，DR 触发 SPT 切换 的 条 件 是 可 配置 的 ， 在 R4 的 PIM 视图 下 ， 使 用 spt-switch-threshold 
命令 可 以 修改 组 成 员 侧 的 DR 加 入 SPT 的 组 播报 文 速 率 装 值 。 例 如 ， 如 果 想 将 DR 配置 
为 永远 不 进行 SPT 切换 ， 则 可 使 用 如 下 命令 (以 R4 为 例 ): 


[R4]pim 

[R4-pimlspt-switch-threshold infinity 

又 或 者 ， 如 果 布 望 当 DR 接收 的 组 播 流量 速率 超过 300kbit/s 时 触发 SPT 切换 ， 则 可 
使 用 如 下 命 

[R4jpim 

[R4-pimlspt-switch-threshold 300 


为 外 ，timer spt-switch 命令 令 用 来 配置 在 
RPT 切换 到 SPT 前 检查 组 播 数据 速率 是 否 达 到 
闵 值 的 时 间 间 隅 ， 该 间 隐 的 缺 省 值 为 15 秒 。 


12.7.8 案例 2: DR 的 选举 与 控制 | 


经 过 前 文 的 讲解 ， 读 者 已 经 熟悉 了 DR 的 
概念 及 作用 ， 在 组 播 网 络 中 ， 对 于 PIM-SM 而 本 要 四 
言 ，DR 的 作用 是 颇 为 重要 的 。 在 进行 网 络 规 “i i 
划 时 ， 为 了 保证 网 络 的 可 控 ， 我 们 时 常会 人 为 oo324 LT 
干预 DR 的 选举 。 在 图 12-59 中 ，R5 及 R6 是 
两 人 台 最 后 一 跳 路 由 堆 ， 它 们 的 GE0/0/1 接口 都 
接 入 同一 台 以 太 网 交换 机 ， 该 交换 机 还 连接 着 
组 播 成 员 。 如 果 此 时 期 望 确保 R5 的 GE0/0/1 Ce 
接口 能 够 成 为 该 网 段 的 DR， 那 么 可 以 调节 其 提名 DR 
接口 的 DR 优先 级 ， 将 该 优先 级 调整 成 一 个 较 大 的 值 。 例 如 : 


[RSs]multicast routing-enable 

[R5-GigabitEthernet0/0/1]ip add 10.1.10.3 24 
[RS5-GigabitEthernet0/0/1]pim sm 
[R5-GigabitEthernet0/0/1]pim hello-option dr-priority 1000000 


在 接口 视图 下 执行 的 pim hello-option dr-priority 命令 用 于 修改 该 接口 的 DR 优先 级 
( 缺 省 值 为 1 )。 完 成 上 述 配 置 后 ， 可 以 使 用 display pim interface 命令 查看 配置 是 否 生 效 : 


to 





<RS>display pim interface 
VPN-Instance: public net 
Interface State | HelloInt DR-Pni DR-Address 
GEO/0/1 up 30 1000000 10.1.10.3 (local) 


me ET 玄 接 
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口 己 经 成 为 网 段 中 的 DR，DR-Address 列 显 示 了 DR 的 地 址 ，local 字样 说 明 本 设备 〈 的 
接口 ) 就 是 DR。 


12.8 ”RP 的 发 现 


RP 在 PIM-SM 网 络 中 的 地 位 是 非常 关键 的 PIM-SM 路 由 器 可 以 通过 两 种 方式 发 现 


网 络 中 的 RP。 

。 通过 手工 配置 的 方式 。 

。 通过 BSR 动态 发 现 。 

通过 手工 配置 的 方式 为 PIM-SM 路 由 器 指定 RP 的 地 址 是 一 种 简单 直接 的 方法 ， 这 
种 方式 配置 的 RP 被 称 为 静态 RP， 该 方式 适用 于 规模 较 小 的 组 播 网 络 ， 网 络 管理 员 仅 需 
在 所 有 的 PIM-SM 路 由 器 上 使 用 一 条 简单 的 命令 即 可 为 设备 指定 RP 的 地 址 。 在 一 个 大 
型 的 PIM-SM 网 络 中 ， 考 虑 到 组 播 路 由 器 的 数量 比较 庞大 ， 在 每 台 设 备 都 进行 相应 的 配 
置 是 比较 党 琐 的 ， 而 且 当 RP 的 地 址 发 生变 化 时 ， 网 络 管理 员 又 不 得 不 手工 在 每 台 设 备 
上 修改 配置 。 

BSR (Bootstrap Router) 使 得 PIM-SM 路 由 器 能 够 动态 地 发 现 与 组 播 组 对 应 的 RP。 
通过 BSR， 组 播 路 由 器 能 够 在 当前 RP 出 现 故 障 的 情况 下 动态 地 感知 到 变化 的 发 生 ， 并 
且 目 动 进行 切换 。 而 且 在 一 些 大 型 网 络 中 ， 可 能 存在 多 个 RP，BSR 能 够 将 不 同 的 组 播 
组 映射 到 不 同 的 RP 上 (注意 ， 相 同 的 组 播 组 必须 映射 到 同一 个 RP)， 使 得 单个 RP 的 负 
载 不 至 于 过 高 。 


12.8.1 静态 RP 


对 于 规模 较 小 的 PIM-SM 网 络 ， 通常 我 们 会 在 网 络 设 备 中 指定 其 中 一 台 作 为 组 播 组 
的 RP。 为 了 让 网 络 中 的 PIM-SM 路 由 器 都 知晓 RP 的 地 址 ,一 个 最 简单 的 方式 是 使 用 手 
工 配置 的 方式 在 每 一 台 路 由 器 上 指定 RP 的 地 址 。 在 PIM-SM 路 由 器 的 PIM 配置 视图 中 ， 
static-rp 命令 用 于 配置 静态 RP。 当 然 ， 为 了 确保 RP 能 够 正确 地 发 挥 作用 ， 网 络 中 的 所 
有 PIM-SM 路 由 器 必须 具备 到 达 RP 的 正确 单 播 路 由 信息 ， 否 则 即便 路 由 器 知晓 了 RP 
的 地 址 ， 也 无 法 构建 RPT， 或 者 向 RP 发 起 注册 过 程 。 

在 一 个 实际 网 络 中 ， 作 为 RP 的 设备 往往 同时 有 多 个 接口 接 入 组 播 网 络 ， 如 图 12-60 
所 示 ，R3 被 选择 作为 网 络 中 的 RP， 它 的 GE0/0/0、GE0/0/1 及 GE0/0/2 接口 都 连接 到 网 
络 中 ， 那 么 究竟 该 选择 哪 一 个 接口 的 地 址 作为 RP 的 地 址 呢 ? 假设 选择 GE0/0/0 的 全 地 
址 ， 即 10.1.13.3/24 作为 RP 地 址 ， 那 么 一 旦 该 接口 发 生 故 障 ， 或 者 该 接口 所 直 连 的 链 路 
发 生 故 障 , 该 地 址 将 变 为 不 可 达 , RP 自然 也 就 无 法 被 正常 访问 ,使 用 GE0/0/1 或 者 GE0/0/2 
接口 的 IP 地址 为 作为 RP 的 地 址 同样 存在 类 似 的 问题 。 实 际 上 ， 在 该 网 络 中 ， 为 了 确保 
所 有 的 PIM-SM 路 由 器 都 具备 到 达 RP 的 路 由 信息 ， 路 由 器 很 可 能 都 部 署 了 诸如 OSPF 
之 类 的 动态 路 由 协议 。 当 R3 的 某 个 接口 发 生 故 障 时 ， 网 络 中 的 PIM-SM 路 由 器 可 以 通 
过 其 他 接口 访问 R3， 换 而 言 之 ， 到 达 R3 的 路 径 可 以 借助 动态 路 由 协议 实现 见 余 性 。 
此 一 个 更 佳 的 解决 方案 是 ， 在 R3 上 创建 Loopback 接口 ， 为 该 接口 分 配 一 个 IP 地 址 ， 
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例如 3.3.3.3/32， 然 后 将 该 地 址 通告 到 动态 路 由 协议 中 。 这 样 ， 全 网 的 PIM-SM 路 由 器 都 
能 通过 动态 路 由 协议 了 解 去 往 3.3.3.3/32 的 路 由 ， 接 下 来 所 有 的 PIM-SM 路 由 器 都 将 组 
播 组 映射 到 3.3.3.3/32。 由 于 Loopback 接口 是 稳定 可 靠 的 ， 加 上 网 络 中 存在 动态 路 由 协 
议 ， 因 此 只 要 R3 还 有 一 个 活跃 的 接口 在 正常 工作 ， 网 络 中 的 PIM-SM 路 由 器 就 依然 能 
够 通过 这 个 接口 到 达 3.3.3.3/32， 从 而 保持 与 RP 的 连通 性 。 值 得 一 提 的 是 ， 作 为 静态 RP 
的 接口 不 必 激 活 PIM-SM。 例如 本 例 中 ，R3 使 用 其 Loopback0 接口 地 址 作为 RP 的 地 址 ， 
那么 其 Loopback0 接口 可 以 不 必 激 活 PIM-SM。 


Source 
:Lb 








RI1 


GEO/0/0 
10.1.13.3/24 


R2 2 R3 (RP) 


GEO/0/2 
10.1.34.3/24 


"PC 
, 192.168.1.1/24 
图 12-60 ”RP 地 址 的 选择 


在 PIM-SM 中 使 用 static-rp 命令 时 ， 静态 RP 的 卫 地 址 是 必须 填写 的 参数 ， 此 外 还 
有 一 些 其 他 的 可 选 参数 。 例 如 ，static-rp 命令 可 以 关联 一 个 ACL， 用 于 控制 静态 RP 所 
服务 的 组 播 组 。 在 配置 这 个 功能 时 ， 需 要 先 定义 一 个 ACL， 在 ACL 中 匹配 特定 的 组 播 
组 地 址 ， 然 后 在 static-rp 命令 中 指定 静态 RP 的 地 址 并 关联 该 ACL， 这 样 这 个 静态 RP 
将 只 为 该 ACL 中 所 匹配 的 组 播 组 服务 。 如 果 static-rp 命令 中 并 没有 关联 任何 ACL， 那 
么 该 命令 所 配置 的 静态 RP 将 为 所 有 的 组 播 组 服务 。 

在 图 12-61 中 , 假设 该 网 络 使 用 了 多 个 组 播 组 (239.0.0.0/24)， 为 了 避免 所 有 的 组 播 
组 都 映射 到 单一 的 RP 上 导致 该 RP 负担 过 重 ， 网 络 中 规划 了 两 个 RP， 它 们 分 别 是 R2 
及 R3。R2 及 R3 各 自 创 建 一 个 Loopback0 接口 ,并 分 别 配置 卫 地 址 2.2.2.2/32 及 3.3.3.3/32。 
二 者 都 将 各 目的 Loopback0 接口 的 直 连 路 由 通告 到 网 络 中 所 运行 的 单 播 动态 路 由 协议 
中 。 接 下 来 ， 可 以 将 组 播 组 239.0.0.0/25 映射 到 R2， 将 239.0.0.128/25 映 刺 到 R3。 以 R4 
为 例 ， 它 的 静态 RP 配置 如 下 : 

[R4]acl 2000 

[R4-acl-basic-2000]rule permit source 239.0.0.0 0.0.0.127 


[R4]acl2001 
[R4-acl-basic-2001]rule permit source 239.0.0.128 0.0.0.127 
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[R4]pim 
[R4-pim]static-rp 2.2.2.2 2000 
[R4-pimlstatic-rp 3.3.3.3 2001 


Source 
10.1.1 .1 





2.2.2.2/32 3.3.3.3/32 


(RP) R2 R3 (RP) 


sy PC 
192.168.1.1/24 


图 12-61 指定 静态 RP 所 服务 的 组 播 组 


当然 ，R1、R2 及 R3 的 配置 均 与 上 述 配 置 完全 相同 ， 对 于 同一 个 组 播 组 ， 网 络 中 所 
有 PIM-SM 路 册 加 必须 肌 和 到 相同 的 RP 上 ， 和 否则 该 组 播 组 的 工作 就 会 出 现 问题 。 完 成 
上 述 配 置 后 , 可 以 通过 display pim rp-info 命令 查看 生效 情况 , 如 在 R4 上 执行 这 条 命令 ， 
可 以 看 到 如 下 输出 : 
<R4>display pim rp-info 
VPN-Instance: public net 
PIM SM static RP Number:2 
Static RP: 2.2.2.2 
Configured ACL: 2000 
Static RP: 3.3.3.3 
Configured ACL: 2001 


我 们 也 可 以 在 display pim rp-info 命令 中 增加 组 播 组 IP 地 址 ， 从 而 查询 该 组 播 组 映 
射 到 的 RP 地 址 。 例 如 在 R4 上 执行 display pim rp-info 239.0.0.177 命令 ， 可 以 看 到 如 下 
输出 : 
<R4>display pim rp 239.0.0.177 
VPN-Instance: public net 
Static RP Address is: 3.3.3.3 
Configured ACL: 2001 
RP mapping for this group is: 3.3.3.3 
组 播 组 239.0.0.177 映射 到 了 RP 3.3.3.3， 这 与 我 们 的 规划 是 相符 的 。 
在 12.8 节 开 始 的 时 候 ， 读 者 已 经 了 解 到 ，PIM-SM 路 由 器 存在 两 种 发 现 RP 的 机 制 ， 
一 种 是 静态 RP 方式 ， 另 一 种 则 是 采用 BSR 的 方式 ， 让 网 络 中 的 PIM-SM 路 由 器 目 动 发 
现 RP。 在 一 台 PIM-SM 路 由 器 上 ， 人 允许 同时 部 署 这 两 种 RP 发 现 机 制 。 此 时 对 于 同一 
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组 播 组 地 址 ， 通 过 这 两 种 RP 发 现 机 制 映射 的 RP 地 址 如 果 不 同 , 缺 省 情况 下 ， 路 由 器 将 
优先 选择 BSR 发 现 的 动态 RP。 当 该 动态 RP 失效 时 , 则 自动 切换 到 手工 配置 的 静态 RP。 
当然 ， 可 以 通过 命令 改变 这 种 优选 顺序 。 如 果 在 使 用 static-rp 命令 配置 静态 RP 时 ， 增 
加 preferred 关键 字 ， 那 么 路 由 器 将 优选 手工 配置 的 静态 RP。 

static-rp 命令 可 以 在 一 台 路 由 器 上 多 次 执行 , 但 是 同一 个 ACL 只 能 映射 到 一 个 静态 
RP。 如 果 static-rp 命令 不 关联 任何 ACL， 那 么 只 能 配置 一 个 静态 RP。 

需要 再 次 强调 的 是 ，RP 的 地 位 在 PIM-SM 网 络 中 是 非常 关键 的 。 针对 RP 有 如 下 要 求 。 

。 所 有 PIM-SM 路 由 器 (包括 RP 本 身 ) 需要 有 针对 RP 完全 一 致 的 认 知 。 同 一 个 
组 播 组 ， 在 所 有 的 PIM-SM 路 由 部 上 必须 映射 到 相同 的 RP。 

。 一 个 特定 的 组 播 组 只 能 被 映射 到 唯一 的 RP 上 。 如 果 在 同一 个 PIM-SM 网 络 中 ， 
一 个 组 播 组 被 映射 到 了 不 同 的 RP， 那 么 组 播 的 工作 显然 是 会 出 现 问 题 的 。 


12.8.2 BSR 概述 


RP 相当 于 组 播 网 络 中 的 一 个 组 播 数据 汇聚 中 心 ， 而 BSR (BootStrap Router) 则 相 
当 于 组 播 网 络 中 的 管理 中 心 ， 它 管理 着 动态 选举 RP 的 整个 过 程 。BSR 的 工作 机 制 并 不 
复杂 。 首 先 网 络 中 会 选举 出 一 台 BSR，BSR 被 选举 出 来 之 后 ， 它 将 疝 整 个 网 络 通 告 自 己 
的 存在 。 网 络 中 的 PIM-SM 路 由 器 会 侦 听 BSR 所 泛 洪 的 通告 并 保存 BSR 的 相关 信息 ， 
而 C-RP〈Candidate-RP， 候 选 RP) 则 纷纷 向 BSR 发 送 自 己 的 候选 通告 。BSR 收集 所 有 
C-RP 发 送 过 来 的 候选 通告 后 ,将 这 些 通告 加 以 汇总 ,然后 将 汇总 的 信息 同 全 网 进行 泛 洪 。 
网 络 中 所 有 的 PIM-SM 路 由 器 都 会 收 到 这 个 汇总 信息 ， 然 后 各 自 基于 这 些 信息 ， 末 用 相 
同 的 算法 进行 计算 ， 最 终 得 到 组 播 组 与 RP 的 映射 关系 。 由 于 每 台 PIM-SM 路 由 器 所 收 
到 的 C-RP 信息 集合 是 一 致 的 ， 而 且 基 于 这 些 信息 采用 相同 的 算法 进行 计算 ， 因 此 得 出 
的 组 播 组 与 RP 的 映射 关系 必然 也 是 相同 的 。 

在 网 络 中 部 署 BSR 后 ， 网 络 中 将 存在 以 下 几 种 设备 类 型 。 

1.-C-BSR 

网 络 中 允许 存在 一 台 或 者 多 台 C-BSR，C-BSR (Candidate-BSR， 候 选 BSR) 是 BSR 
的 候选 者 ， 它 们 都 有 意愿 成 为 BSR， 在 成 为 BSR 之 前 ， 它 们 之 间 要 进行 选举 ， 胜 出 的 
C-BSR 成 为 该 网 络 的 BSR。BSR 的 选举 是 通过 PIM 目 举 〈Bootstrap) 报 文 进行 的 ， 报 
文中 包含 C-BSR 的 优先 级 、 哈 希 掩 码 长 度 ， 以 及 其 IP 地 址 等 信息 。 网 络 中 优先 级 值 最 
大 的 C-BSR 胜出 成 为 BSR, 如 果 优 先 级 相等 , 那么 拥有 最 大 IP 地 址 的 C-BSR 将 会 胜出 。 

2. BSR 

在 一 个 PIM-SM 网 络 中 ， 可 以 存在 一 台 或 多 台 C-BSR, 但 只 会 存在 一 台 BSR， 它 是 
从 所 有 C-BSR 中 选举 产生 的 。BSR 周期 性 地 问 网 络 中 泛 洪 自 举报 文 ， 以 通告 自己 的 信 
息 。 所 有 C-RP 都 会 知晓 BSR 的 地 址 。BSR 负责 收集 C-RP 发 送 过 来 的 信息 ， 将 C-RP 
信息 汇总 后 泛 洪 到 整个 PIM-SM 网 络 中 。 从 这 个 层面 可 以 看 出 , 实际 上 BSR 并 不 决定 组 
播 组 与 RP 的 映射 关系 ， 它 只 是 简单 地 将 C-RP 的 信息 汇总 并 扩散 ， 而 决定 组 播 组 与 RP 
映射 关系 的 是 每 一 台 PIM-SM 路 由 器 自己 。 

3. C-RP 

C-RP 是 RP 的 候选 者 ,网 络 中 允许 存在 一 台 或 多 台 C-RP, 这 些 C-RP 可 以 为 不 同 的 
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组 播 组 范围 服务 ， 而 且 组 播 组 范围 可 以 有 重 登 。C-RP 获知 BSR 的 地 址 后 ， 将 自己 负责 
的 组 播 组 范围 、RP 优先 级 及 IP 地 址 等 信息 以 单 播 的 形式 发 送 给 BSR。 

4. RP 

关于 RP 的 概念 此 处 不 再 多 介绍 ， 读 者 已 经 非常 熟悉 了 。 如 果 PIM-SM 路 由 器 采用 
BSR 目 动 发 现 RP， 那 么 每 一 台 PIM-SM 路 由 器 会 基于 BSR 泛 洪 的 、 关 于 所 有 C-RP 的 
信息 进行 计算 ， 最 终 将 组 播 组 映射 到 RP。 所 有 PIM-SM 路 由 器 针对 相同 的 组 播 组 ， 都 
会 映射 到 同一 台 RP。 

一 台 PIM-SM 路 由 器 可 以 是 C-BSR， 同 时 又 是 一 台 C-RP， 当 然 ， 路 由 器 也 可 以 既 
不 是 C-BSR， 又 不 是 C-RP， 此 时 它 将 不 会 参与 BSR 的 竞选 ， 也 不 会 参与 RP 的 竞选 ， 
但 是 它们 会 侦 听 BSR 通告 的 C-RP 汇总 信息 。 


12.8.3” BSR 工作 机 人 制 | 


在 图 12-62 中 ， 所 有 的 路 由 器 都 运行 了 PIM-SM， 其 中 R3 及 RS 是 C-BSR，R2 及 
R4 是 C-RP。 下 面 简单 地 讲解 一 下 BSR 的 工作 过 程 。 假 设 Rs 的 BSR 优先 级 值 为 100， 
R3 的 BSR 优先 级 值 为 50。 


C-RP C-BSR 
4.4.4.4 5.5.5.5 
组 播 组 范围 239.0.0.0/24 哈 希 掩 码 长 度 30 
RP 优先 级 100 BSR 优先 级 100 
R4 RS 





Source 
IO 


PC 


C-RP C-BSR 192.168.1.1/24 
222 3.3.3.3 
组 播 组 范围 224.0.0.0/4 哈 希 掩 码 长 度 30 
RP 优先 级 0 BSR 优先 级 50 


图 12-62 ”BSR 的 工作 机 制 


(1) 初始 时 ，R3 及 R5 都 认为 自己 是 BSR,， 它 们 都 向 网 络 中 泛 洪 PIM 自 举 报 文 (如 
图 12-63 所 示 )， 该 报 文 以 组 播 的 方式 发 送 ， 目 的 IP 地 址 是 组 播 IP 地 址 224.0.0.13。 自 
举报 文 会 被 扩散 到 全 网 (实际 上 上 自 举 报 文 是 逐 跳 地 传 遍 整 个 网 络 的 )， 这 使 得 所 有 的 
C-BSR 都 能 知晓 网 络 中 其 他 C-BSR 的 信息 。 自 举报 文中 包含 着 多 个 重要 信息 ， 其 中 有 
两 个 信息 在 这 个 过 程 中 发 挥 着 关键 作用 ， 一 是 发 送 该 报 文 的 C-BSR 的 优先 级 ， 二 是 该 
C-BSR 的 IP 地址 。 

以 R5 为 例 ， 它 会 从 自己 连接 R3、R4 及 R6 的 接口 都 发 送 自 举报 文 ， 其中， 从 
连接 R4 的 接口 发 出 的 自 举报 文 的 源 地 址 为 10.1.45.5， 目 的 IP 地 址 是 224.0.0.13。 
图 12-64 描述 了 这 个 报 文 的 结构 。 值 得 注意 的 是 ， 该 报 文 的 TTL 值 为 1， 也 就 是 只 
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会 传递 1 跳 。 


C-RP ee 
4.4.4.4 


组 播 组 范围 239.0.0.0/24 哈 希 措 藻 长 度 30 
RP 优先 级 100 BSR 优先 级 100 





Source 
1011 1 

R2 R3 

C-RE C-BSR 下 
192 .168 1.1/24 
PIM 日 举报 文 222:2 3:3.33 
组 播 组 范围 224.0.0.0/4 ” 哈 希 掩 码 长 度 30 
RP 优先 级 0 BSR 优先 级 50 


图 12-63 R3 及 Rs 向 网 络 中 泛 洪 目 举 报 文 《图 中 只 显示 了 报 文 扩散 的 第 一 跳 ) 


Internet Protocol, src: 10.1.45.5 (10.1.45.5), Dst: 224.0.0.13 (〈224.0.0.137 
Protocol Independent Multicast | 
0010 .... = Version: 2 
.... 0100 = Type: Bootstrap (4) 
Reserved byte(s): 00 
Checksum: Ox3f7f [correct] 
S PIM parameters 
Fragment tag: Ox7312 
Hash mask len: 30 
BSR priority: 100 
BSR: 5.5.5s5 


图 12-64 RS 发 给 R4 的 自 举 报 文 


再 以 R4 为 例 ， 它 收 到 这 个 目 举 报 文 后 ， 会 记录 报 文中 的 相关 信息 ， 并 重新 产生 目 
举报 文 , 然后 继续 向 其 连接 R1 及 R2 的 接口 泛 洪 。R4 在 其 连接 R1 的 接口 上 泛 洪 的 自 举 
报 文 , 源 卫 地 址 为 该 接口 的 IP 地 址 , 目的 卫 地 址 为 224.0.0.13, 报 文中 承载 着 C-BSR R5 
的 信息 , 当然 , 这 个 报 文 的 TTL 值 也 是 为 1, 这 就 是 所 谓 的 逐 跳 传递 。R3 及 R5 的 C-BSR 
言 息 随 着 上 自 举报 文 的 逐 跳 传递 ， 最 终 扩 散 到 全 网 。 

(2) 现在 ，R3 及 RS 都 知道 了 对 方 的 存在 ， 也 知道 了 对 方 的 BSR 优先 级 和 IP 地 址 。 
接 下 来 开始 BSR 的 选举 过 程 。 由 于 RS 的 优先 级 更 高 ， 因 此 它 胜出 成 为 该 网 络 的 BSR。 
在 选举 胜出 后 ，R5 将 继续 周期 性 ( 缺 省 发 送 间 隔 为 60 秒 ) 地 问 网 络 中 泛 洪 目 举 报 文 ， 
而 RS 则 不 再 发 吉他 会 利己 CBSR 候 忆 四 目下 和 于 。 

ee display pim bsr-info 命令 可 以 查询 当前 的 BSR 信息 ， 例 如 在 R4 上 
执行 该 命令 ， 可 以 看 到 如 下 输出 : 

ga pim bsr-info 

VPN-Instance: public net 

Elected AdminScoped BSR Count: 0 

Elected BSR Address: 5.5.5.5 

Priority: 100 
Hash mask length: 30 
State: Accept Preferred 
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Scope: Not scoped 
Uptime: 00:09:02 
Expires: 00:02:08 
C-RP Count: 0 
(3) 当 网 络 中 的 C-RP(R2 及 R4) 明确 了 当前 的 BSR 后 ， 便 立即 开始 周期 性 地 发 
送 PIM C-RP 通告 (Candidate-RP-Advertisement， 候 选 RP 通告 ) 报 文 。C-RP 通告 报 文 
是 以 单 播 的 形式 发 送 的 ， 报 文 发 往 当 前 的 BSR。 如 图 12-65 所 示 ， 以 R2 为 例 ， 假 设 R2 
使 用 其 Loopback0 接口 的 地 址 (2.2.2.2/32) 作为 C-RP 的 地 址 ， 那 么 R2 所 产生 的 C-RP 
通告 报 文 的 源 卫 地 址 为 2.2.2.2， 而 目的 卫 地址 为 5.5.5.5。R2 及 R4 通过 查询 自己 的 单 


播 路 由 表 获 取 到 达 BSR 的 路 径 。 


C-RP BSR 

4.4.4.4 5.3.5.5 
组 播 组 范围 239.0.0.0/24 哈 希 掩 码 长 度 30 
RP 优先 级 100 BSR 优先 级 100 





PC 
PIM C-RP 通告 报 文 s Fre 192.168.1.1/24 
ES 组 播 组 范围 224.0.0.0/4” 哈 希 掩 码 长 度 30 
RP 优先 级 0 BSR 优先 级 50 


图 12-65”C-RP 问 BSR 发 送 通告 报 文 


图 12-66 显示 了 R2 发 往 BSR 的 C-RP 通告 报 文 , 该 报 文中 包含 一 些 用 于 RP 选举 的 
信息 ， 其 中 “Priority” 字 段 填写 的 是 该 C-RP 的 优先 级 ， 这 个 优先 级 的 值 越 大 ， 则 优先 
级 越 低 ;“Holdtime” 字 段 则 指示 BSR 等 待 接收 该 C-RP 发 送 的 C-RP 通告 报 文 的 超时 时 
间 ;“RP” 字 段 填写 的 是 该 C-RP 的 IP 地 址 ;“Group” 字 段 填 写 的 是 C-RP 所 服务 的 组 
播 组 范围 。 


Internet ProtoeoTl, Sre: 2.2.2.2 (2,.252.2), Dst: 5.5685 (5.5.5.5) 
Protocol Independent Multicast 
QV010 .os = Version: 2 
.... 1000 = Type: Candidate-RP-Advertisement {8) 
Reserved byte(s): 00 
Checksum: Oxf060 [correct] 
SPIM parameters 
Prefix-count: 1 
Priority: 0 
Holdtime: 150 
RES 22 
Group 0: 224.0.0.0/4 


图 12-66”R2 发 往 BSR 的 C-RP 通告 报 文 


(4) BSR 收 到 了 C-RP 发 送 过 来 的 通告 后 ， 便 知晓 了 每 台 C-RP 的 信息 ， 它 将 这 些 
信息 进行 汇总 ， 然 后 封闭 在 目 己 的 目 举报 文中 ， 周 期 性 地 同 网 络 中 泛 洪 。 图 12-67 描述 
了 这 个 过 程 。 
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源 卫 地 址 BSR 接口 IP 
中 包头 目的 了 P 了 地 址 224.0.0.13 
哈 希 掩 码 长 度 30 


BSR 优先 级 100 
BSR 地 址 5.5$.5.5 


C-RP BSR 组 播 组 范围 224.0.0.0/4 
4444 5.5.5.5 
组 播 组 范围 239.0.0.0/24 ”” 哈 希 掩 码 长 度 30 PIM 荷载 RP ot 
RP 优先 级 100 BSR 优先 级 100 
组 播 组 范围 239.0.0.0/24 


RP 地 址 4.4.4.4 
优先 级 100 





C-RP 
多 
组 播 组 范围 224.0.0.0/4 
RP 优先 级 0 


图 12-67 BSR 将 C-RP 的 汇总 信息 泛 洪 到 全 网 


最 终 ， 全 网 的 PIM-SM 路 由 器 都 发 现 了 网 络 中 所 有 的 C-RP 及 其 相关 信息 。 需 要 强 
调 的 是 ， 由 于 PIM-SM 路 由 器 都 是 从 同一 台 BSR 接收 了 C-RP 的 汇总 信息 ， 因 此 每 台 
PIM-SM 路 由 器 最 终 获 取 到 的 信息 是 一 致 的 。 以 R1 为 例 ， 使 用 display pim rp-info 命令 
可 以 看 到 如 下 输出 : 
<R1>display pim rp-info 
VPN-Instance: public net 
PIM-SM BSR RP Number:2 
~ Group/MaskLen: 224.0.0.0/4 
RP: 2.2.2.2 
Priority: 0 
Uptime: 00:45:31 
Expires: 00:01:59 
Group/MaskLen: 239.0.0.0/24 
RP: 4.4.4.4 
Priority: 100 
Uptime: 00;46:11 
Expires: 00:01:59 
从 上 述 信 息 可 以 看 出 ，R1 发 现 了 两 个 C-RP， 服 务 于 组 播 组 范围 224.0.0.0/4 (所 有 
组 播 组 ) 的 C-RP 有 一 个 : 2.2.2.2， 服 务 于 组 播 组 范围 239.0.0.0/24 的 C-RP 也 有 一 个 : 
4.4.4.4。 其 中 2.2.2.2 的 优先 级 值 为 0，4.4.4.4 的 优先 级 值 为 100。 实 际 上 网 络 中 所 有 的 
PIM-SM 路 由 右 都 拥有 一 致 的 信息 。 
(5) 最 后 ， 每 台 PIM-SM 路 由 器 都 基于 C-RP 汇总 信息 ， 使 用 相同 的 算法 进行 计算 ， 
得 到 每 个 组 播 组 对 应 的 RP。 采 用 的 算法 如 下 。 
1) C-RP 所 服务 的 组 播 组 范围 与 该 组 播 组 地 址 匹配 度 最 长 的 C-RP 胜出 。 
2) 如 果 C-RP 所 服务 的 组 播 组 范围 相同 ， 则 C-RP 优先 级 值 最 小 的 胜出 。 
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3) 如 果 C-RP 的 优先 级 都 相同 ， 那 么 进行 哈 希 计算 ， 将 组 播 组 地 址 、BSR 哈 希 
掩 码 、C-RP 的 IP 地 址 作为 哈 希 函数 的 输入 ， 得 到 哈 希 结果 ， 哈 希 值 最 大 的 胜出 。 

4) 如 果 哈 希 值 相等 ， 则 C-RP 的 IP 地 址 最 大 的 胜出 。 

所 以 ， 在 本 例 中 ， 由 于 R4 服务 的 组 范围 是 239.0.0.0/24， 而 R2 则 是 224.0.0.0/4， 因 
此 对 于 组 播 组 239.0.0.1 至 239.0.0.255 而 言 ， 网 络 中 所 有 的 PIM-SM 路 由 器 将 会 认为 R4 
是 这 些 组 播 组 对 应 的 RP， 因 为 虽然 R2 及 R4 都 可 以 为 这 些 组 播 组 服务 ， 但 是 这 些 组 地 
址 与 R4 所 服务 的 组 范围 的 匹配 度 更 长 〈(R4 的 组 范围 掩 码 长 度 更 长 )。 而 对 于 除了 上 述 
组 地 址 之 外 的 其 他 组 播 组 ， 由 于 超出 了 R4 所 服务 的 范围 ， 因 此 R2 将 会 成 为 它们 的 RP。 
当然 如 果 此 时 网 络 中 出 现 了 新 的 C-RP， 而 且 它 服务 的 组 范围 与 R2 相同 ， 那 么 两 者 的 
RP 优先 级 将 决定 谁 将 胜出 成 为 这 些 组 播 组 的 RP。 而 如 果 优 先 级 相等 ， 则 比较 哈 希 函数 
计算 的 结果 。 通 过 适当 地 设置 BSR 哈 希 掩 码 长 度 , 可 以 将 一 部 分 组 播 组 映射 到 一 个 C-RP， 
而 将 另 一 部 分 组 播 组 映射 到 另 一 个 C-RP， 从 而 实现 RP 的 负载 分 担 。 


12.8.4 ”案例 : BSR 的 基础 配置 


在 图 12-68 中 ， 所 有 的 路 由 器 均 已 运行 OSPF， 并 且 在 接口 上 都 激活 了 PIM-SM。 现 
在 将 R3 及 R5 指定 为 C-BSR， 它 们 使 用 自己 的 Loopback0 接口 的 地 址 作为 C-BSR 的 地 
址 (Loopback0 接口 的 路 由 已 经 在 OSPF 中 发 布 )。 为 了 使 得 网 络 正 常 时 ，R5 成 为 BSR， 
故 将 其 BSR 优先 级 值 调整 成 100， 而 R3 则 保持 缺 省 值 0。 男 外 ， 将 R2 及 R4 均 指定 为 
C-RP， 它 们 也 都 使 用 各 自 的 Loopback0 接口 地 址 作为 C-RP 的 了 地址。 


C-RP C-BSR 

4.4.4.4 3.3.3.3 
组 播 组 范围 239.0.0.0/24 ”” 哈 希 掩 码 长 度 30 
RP 优先 级 100 BSR 优先 级 100 


R4 RS 





ms 4 


PC 
C-RP C-BSR 192.168.1.1/24 


光世 和 3.3.3.3 
组 播 组 范围 224.0.0.0/4 。“” 哈 希 掩 码 长 度 30 
RP 优先 级 0 BSR 优先 级 0 


图 12-68 ”BSR 基础 实验 


R3 的 配置 如 下 : 

[R3jinterface LoopBack 0 
[R3-LoopBack0]ip address 3.3.3.3 32 
[R3-LoopBackO]pim sm 


[R3]pim 
[R3-pimjc-bsr LoopBack 0 
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R5 的 配置 如 下 : 

[RSjinterface LoopBack 0 
[RS-LocpBack0]jip address 5.5.5.5 32 
[RS-LoopBack0]pim sm 


[RS]pim 

[RS-plimj]c-bsr priority 100 

[RS5-pim]c=bsr LoopBack 0 

在 PIM 的 配置 视图 中 ，c-bsr 命令 用 于 将 该 设备 配置 为 BSR 的 候选 者 。 该 命令 需 关 
联 本 地 的 接口 (例如 本 例 中 的 Loopback 接口 )， 而 这 个 接口 的 IP 地址 便 是 C-BSR 的 下 
地 址 。 被 c-bsr 命令 指定 的 接口 必须 激活 PIM-SM。 男 外 ，c-bsr 命令 还 能 够 指定 哈 希 掩 
码 长 度 ( 注 : 使 用 c-bsr hash-length 命令 可 指定 喻 希 掩 人 码 长 度 ， 哈 希 掩 人 码 长 度 的 取 值 范围 
是 0 一 32)， 为 了 简单 起 见 ， 本 例 中 R3 及 RS 均 未 指定 C-BSR 的 哈 希 掩 码 长 度 ， 缺 省 时 ， 
该 掩 码 长 度 为 30。 哈 硕 手 码 将 作为 哈 希 图 数 的 输入 之 一 ， 影 响 RP 的 选举 。 完 成 上 述 配 
置 后 ，R3 及 R5 便 会 问 网 络 中 泛 洪 自 举 报 文 并 开始 BSR 选举 ， 最 终 由 于 Rs 的 BSR 优 
先 级 值 更 大 ， 因 此 它 将 胜出 ， 成 为 该 网 络 的 BSR。 

R2 的 配置 如 下 : 

[R2]interface LoopBack 0 


[R2-LoopBack0]ip address 2.2.2.2 32 
[R2-LoopBack0jpim sm 


[R2]jpim. 

[R2-pimlc-rp LoopBack 0 

R4 的 配置 如 下 : 

[R4linterface LoopBack 0 
[R4-LoopBackOlip address 4.4.4.4 32 
[R4-LoopBack0]pim sm 


[R4]acl 2000 
[R4-acl-basic-2000]rale permit source 239.0.0.0 0.0.0.255 
~ [R4-acl-basic-2000]quit 


a LoopBack0 group-policy 2000 priority 100 

在 PIM 的 配置 视图 中 ，c-rp 命令 用 于 将 设备 配置 为 RP 的 候选 者 。 该 命令 需 关 联 一 
个 本 地 的 接口 ， 而 这 个 接口 的 IP 地 址 就 是 C-RP 的 卫 地址 。 被 e-rp 命令 指定 的 接口 必 
须 激 活 PIM-SM。 男 外 ec-rp 命令 还 有 一 些 可 选 参 数 。 例 如 可 以 指定 该 C-RP 所 服务 的 组 
播 组 范围 ， 在 c-rp 命令 中 使 用 group-policy 关键 字 ， 然 后 指定 一 个 已 经 创建 好 的 ACL， 
即 可 配置 该 C-RP 所 服务 的 组 播 组 范围 ， 缺 省 时 ，C-RP 为 所 有 的 组 播 组 (224.0.0.0/4) 
服务 。 此 外 ， 访 命令 还 可 以 关联 priority 关键 字 ， 该 关键 字 用 于 指定 该 C-RP 的 优先 级 ， 
” 优先 级 的 值 越 大 ， 则 优先 级 越 低 ， 缺 省 时 ， 该 值 为 0。 

完成 上 述 配置 后 ， 首 先 检 查 一 下 BSR 的 选举 情况 ， 使 用 display pim bsr-info 命令 ， 
可 以 查看 到 当前 的 BSR， 以 R2 为 例 ， 执 行 该 命令 后 可 看 到 如 下 输出 : 

<R2>display pim bsr-info 

VPN-Instance: public net 

Elected AdminScoped BSR Count: 0 


Elected BSR Address: 5.5.5.5 
Priority: 100 
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Hash mask length: 30 
State: Accept Preferred 
Scope: Not scoped 
Uptime: 00:13:34 
Expires: 00;01;37 
C-RP Count: 2 


此 时 所 有 的 PIM-SM 路 由 器 都 认为 Rs 是 当前 的 BSR。 此 外 ， 使 用 display pim rp-info 
命令 ， 可 以 查看 RP 信息 ， 以 R1 为 例 ， 执 行 该 命令 后 可 看 到 如 下 输出 : 


<R1>display pim rp-info 

VPN-Instance: public net 
PIM-SM BSR RP Number:2 
Group/MaskLen: 224.0.0.0/4 

RP: 2.2.2.2 

Priority: 0 

Uptime: 00:14:33 

Expires: 00:01:57 
Group/MaskLen: 239.0.0.0/24 

RP: 4.4.4.4 

Priority: 100 

Uptime: 00:11:28 

Expires: 00:01:57 


R1 (以 及 网 络 中 其 他 的 PIM-SM 路 由 器 ) 己 经 发 现 了 网 络 中 存在 的 两 个 C-RP。 RI 
将 执行 特定 的 算法 ， 从 而 将 特定 的 组 播 组 映射 到 某 个 RP。 当 然 ， 对 于 同一 个 组 播 组 ， 网 
络 中 所 有 的 PIM-SM 路 由 器 都 会 将 其 映射 到 同一 


12.9 SSM 


12.9.1 SSM 概述 


到 目前 为 止 ,本 书 讨论 的 都 是 组 播 服 务 模型 中 的 ASM (Any-Source Multicast， 任 意 
源 组 播 )， 在 ASM 中 ， 对 于 每 个 组 播 组 而 言 ， 任 意 的 设备 都 可 以 成 为 组 播 源 。 对 于 接收 
者 而 言 ， 它 们 事先 并 不 知晓 组 播 源 的 地 址 ， 只 要 它们 加 入 了 一 个 组 播 组 ， 当 任意 的 源 加 
该 组 发 送 组 播 流量 时 ， 接 收 者 会 收 到 这 些 流量 。 

PIM-DM 及 PIM-SM 都 支持 ASM。PIM-DM 适用 于 组 成 员 分 布 较为 密集 的 小 型 网 络 ， 
而 PIM-SM 则 适用 于 组 成 员 分 布 较为 稀 朴 的 大 型 网 络 。 以 PIM-SM 为 例 ， 由 于 事先 并 不 
知晓 组 播 源 的 地 址 ， 因 此 最 后 一 跳 路 由 器 在 发 现 其 直 连 网 络 中 出 现 组 成 员 之 后 ， 首 先 表 
着 RP 的 方向 构建 一 段 RPT 的 分 支 从 而 在 RPT 上 接收 组 播 流量 , 然后 为 了 确保 在 到 达 组 
播 源 的 最 优 路 径 上 接收 组 播 流量 ， 还 需 在 获知 组 播 源 的 IP 地 址 后 进行 SPT 的 切换 ， 这 
显然 是 存在 优化 空间 的 。 此 外 ， 在 ASM 中 ， 为 了 保证 组 播 流量 在 接收 者 这 里 不 会 产生 
冲突 ， 同 一 个 组 播 组 地 址 在 同一 时 间 只 能 够 被 一 个 组 播 应 用 使 用 ， 即 同一 时 间 只 允许 一 
个 组 播 源 向 某 个 特定 的 组 播 组 发 送 组 播 流量 。 这 个 限制 将 直接 造成 组 播 卫 地 址 紧缺 。 

SSM (Source-Specific Multicast， 特 定 源 组 播 ) 的 出 现 为 我 们 滞 开 了 男 一 届 大 门 。 在 
SSM 中 ,组 播 接 收 者 在 加 入 组 播 组 时 ， 即 可 指定 接收 或 者 拒绝 来 日 特定 组 播 源 的 组 播 流 
量 一 一 特定 源 组 播 因 此 得 名 。 换 句 话 说 ， 组 播 接 收 者 通过 IGMP 成 员 关 系 报告 加 组 时 ， 
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除了 指定 期 望 加 入 的 组 播 组 地 址 ， 还 能 够 指定 组 播 源 的 地 址 。 显 然 ， 为 了 实现 这 样 的 需 
求 ，IGMPv1 及 IGMPv2 都 是 无 法 直接 胜任 的 ， 而 IGMPv3 则 天 然 拥 有 这 方面 的 能 力 。 
SSMT+IGMPv3 的 组 合 , 使 得 最 后 一 跳 路 由 占 在 初始 时 就 知晓 了 组 播 源 的 地 址 ， 并 且 直 接 
明 着 源 的 方向 构建 SPT 的 分 支 ,于 是 组 播 流量 就 能 够 沿 着 构建 好 的 SPT 直接 到 达 接 收 者 ， 
而 不 用 经 过 RP， 实 际 上 该 场景 完全 不 需要 用 到 RP。 另 外 ，SSM 也 缓解 了 组 播 IP 地 址 
紧缺 的 问题 ， 在 SSM 中 ， 在 同一 时 间 内 ， 不 同 的 组 播 源 可 以 问 同一 个 组 播 耻 地 址 发 送 
数据 ， 因 此 ， 每 个 组 播 应 用 无 需 独 占 一 个 组 播 IP 地 址 。 

在 SSM 中 ， 两 个 关键 组 件 是 SSM 及 IGMPv3。 另 外 ，IANA 规定 ，232.0.0.0/8 这 个 
组 播 地 址 段 专门 用 于 SSM。SSM 在 PIM-SM 的 基础 上 实现 ， 以 华为 AR 路 由 器 为 例 ， 部 
署 SSM 时 ， 只 需要 在 设备 上 激活 PIM-SM 即 可 ， 最 后 一 跳 路 由 器 根据 组 播 组 地 址 来 选 
择 PIM-SM 或 PIM-SSM 工作 模式 ， 缺 省 情况 下 ， 针 对 232.0.0.0/8 地 址 范围 的 组 播 组 不 
执行 RPT 加 入 过 程 。 

PIM-SSM 的 出 现 ， 解 决 了 ASM 存在 的 诸多 短 板 ， 也 体现 了 诸多 优势 。 

(1) 由 于 组 播 接收 者 在 宣告 自己 加 入 组 播 组 的 时 候 ， 同 时 还 指定 了 组 播 源 的 地 址 ， 
因此 最 后 一 跳 路 由 器 在 最 开始 的 时 候 便 知晓 了 组 播 源 的 地 址 ， 它 可 以 直接 朝 着 源 的 方 问 
建立 SPT 的 分 文 ， 而 不 用 朝 着 RP 的 方向 建立 RPT 的 分 支 , 然后 等 待 组 播 流 量 到 达 之 后 
再 进行 SPT 切换 ， 效 率 得 到 了 提升 。 

(2) 由 于 组 播 接 收 者 明确 了 其 感 兴趣 的 组 播 源 ， 因 此 如 果 存 在 其 他 组 播 源 向 该 组 播 
组 发 送 流量 ， 那 么 这 些 流量 将 不 会 被 转发 给 组 播 接 收 者 。 

(3) 在 SSM 中 ， 多 个 不 同 的 组 播 应 用 ， 可 以 使 用 相同 的 组 播 组 地 址 。 因 为 有 了 组 
播 源 的 加 入 ， 组 播 网 络 可 以 在 目的 IP 地 址 相同 的 组 播 流量 中 ， 根 据 源 IP 地 址 区 分 不 同 
的 应 用 。 这 个 特点 极 大 地 缓解 了 组 播 IPv4 地 址 短缺 的 问题 。 


12.9.2 PIM-SSM 的 工作 机 制 


在 图 12-69 中 ，R1、R2、R3 及 R4 是 PIM-SM 组 播 路 由 器 ， 这 些 路 由 器 都 运行 了 
OSPF， 并 通过 OSPF 获知 了 到 达 全 网 各 个 网 段 的 路 由 。 其 中 R4 在 自己 连接 终端 PC 的 
接口 上 激活 了 IGMPv3。 下 面 讲解 一 下 SSM 的 基础 工作 机 制 |: 

(1) PC 希望 接收 组 播 源 10.1.1.1 发 往 组 播 组 232.1.1.1 的 流量 ，PC 运行 的 IGMPv3 
使 得 这 个 需求 的 实现 变 得 非常 简单 。 它 向 网 络 中 发 送 一 个 IGMPv3 成 员 关 系 报告 报 文 ， 
在 该 报 文中 , 包含 一 个 组 记录 , 该 组 记录 的 类 型 为 Mode Is Include, 组 地 址 为 232.1.1.1， 
而 组 播 源 为 10.1.1.1。 

(2) 最 后 一 跳 路 由 器 R4 收 到 这 个 IGMPv3 报 文 后 ， 意 识 到 其 接口 直 连 的 网 络 中 出 
现 了 组 播 组 232.1.1.1 的 接收 者 ， 并 且 该 接收 者 指定 的 组 播 源 为 10.1.1.1。 由 于 组 地 址 
232.1.1.1 是 SSM 地 址 ， 因 此 R4 采用 PIM-SSM 模式 进行 后 续 的 工作 。 

R4 在 目 己 的 单 播 路 由 表 中 查询 到 达 组 播 源 10.1.1.1 的 路 由 ， 记 录 下 路 由 的 出 接口 ， 
然后 立即 在 其 PIM 路 由 表 中 创建 (10.1.1.1，232.1.1.1) 表 项 ， 将 到 达 10.1.1.1 的 路 由 的 
出 接口 作为 上 游 接 口 ， 将 收 到 IGMPv3 成 员 关 系 报告 报 文 的 接口 添加 到 下 游 接 口 列表 。 
随后 , R4 将 在 自己 与 组 播 源 之 间 建 立 一 段 SPT 的 分 支 。 它 从 上 游 接口 发 送 一 个 (10.1.1.1， 
232.1.1.1) 的 PIM 加 入 报 文 。 
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: 源 :10.1.1.1, 组 播 组 :232.1.1.1 


PC 
3 192.168.1.1/24 


图 12-69 SSM 的 基础 工作 原理 


| ; IGMPv3 成 员 关系 报告 





人 PM-SSM 的 工作 无 需 RP， 也 不 用 执行 RPT 加 入 过 程 。 


(3) R2 收 到 下 游 PIM 邻居 R4 发 送 的 〈10.1.1.1，232.1.1.1) 加 入 报 文 后 ， 在 其 PIM 
路 由 表 中 创建 (10.1.1.1，232.1.1.1) 表 项 ， 将 接收 加 入 报 文 的 接口 添加 到 该 表 项 的 下 游 
接口 列表 中 ， 将 到 达 组 播 源 10.1.1.1 的 接口 作为 上 游 接 口 。 然 后 ，R2 从 上 游 接 口 同 上 游 
邻居 R1 发 送 〈10.1.1.1，232.1.1.1) 加 入 报 文 。 

(4) 第 一 跳 路 由 器 R1 收 到 R2 发 送 的 (10.1.1.1，232.1.1.1) 加 入 报 文 后 ， 如 果 已 经 
存在 〈10.1.1.1，232.1.1.1) 表 项 ， 则 将 收 到 加 入 报 文 的 接口 添加 到 该 表 项 的 下 游 接口 列 
表 中 。 当 10.1.1.1 开始 同 232.1.1.1 发 送 组 播 流量 时 ， 组 播 流 量 便 能 够 沿 着 已 经 建立 好 的 
SPT 流 同 PC。 


12.9.3 ”案例 : PIM-SSM 的 基础 配置 


在 图 12-70 所 示 的 网 络 中 ，R1、R2、R3 及 R4 均 运行 了 OSPF， 使 得 网 络 实现 了 全 
网 路 由 互通 。Source 是 组 播 源 ，PC 期 望 接 收 Source 发 送 的 组 播 流量 。 为 了 使 得 网 络 中 
的 组 播 业 务 更 高 效 ， 我 们 决定 部 署 SSM。 

RI1 的 配置 如 下 : 

{Rl]multicast routing-enable 

[R1]interface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0]jpim sm 

[RI-GigabitEthermet0/0/0]quit 

[Rllinterface GigabitEthernet 0/0/1 

[R1-GigabitEthermet0/0/1]pim sm 

R2 的 配置 如 下 : 

[R2]multicast routing-enable 

[R2]interface GigabitEthernet 0/0/0 

[R2-GigabitEthernet0/0/0]jpim sm 
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[R2-GigabitEthernet0/0/0]quit 
[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]pim sm 
[R2-GigabitEthernet0/0/11quit 
[R2]interface GigabitEthernet 0/0/2 
[R2-GigabitEthernet0/0/2]pim sm 


Source 
本 本 
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10.1.1.254 


GEO/0/1 
10.1.12.1/24 
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GEO/O0/1 
10.1.24.4/24 


R4 | GE0/0/0 


192.168.1.254/24 


组 EE PC 
ml, 192.168.1.1/24 


图 12-70 SSM 的 基础 配置 


R3 的 配置 如 下 : 
[R3]multicast routing-enable 

~ [R3]interface GigabitEthernet O/0/1 
[R3-GigabitEthernet0/0/1]pim sm 
[R3-GigabitEthernet0/0/1]quit 
[R3]interface GigabitEthernet 0/0/2 
[R3-GigabitEthemet0/0/2]pim sm 
R4 的 配置 如 下 : 
4]multicast routing-enable 
[Rd4]jinterface GigabitEthernet 0/0/1 
[R4-GigabitEthemet0/0/1]pim sm 
[R4-GigabitEthernet0/0/1]quit 
[R4jinterface GigabitEthernet 0/0/2 
[R4-GigabitEthernet0/0/2]pim sm 
[R4-GigabitEthemet0/0/2]quit 
[R4]interface GigabitEthernet 0/0/0 
[R4-GigabitEthemet0/0/0]pim sm 
[R4-GigabitEthernetO/0/0]igmp enabie 
[R4-GigabitEthemet0/0/0ligmp version 3 
在 上 述 配 置 中 ， 需 要 格外 关注 的 是 ，R4 的 GE0/0/0 接口 需 激 活 IGMPv3。 
现在 ，PC 开始 发 送 IGMPv3 成 员 关 系 报告 , 表示 期 望 加 入 组 播 组 232.1.1.1， 并 且 限 


定 源 为 10.1.1.1。 在 R4 上 能 观察 到 如 下 IGMP 组 表 项 : 
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<R4>display igmp group verbose 
Interface group report information of VPN-Instance: public net 
Limited entry of this VPN-Instance: - 
GigabitEthernet0/0/0(192.168.1.254): 
Total entry on this interface: 1 
Limited entry on this interface: - 
Total 1 IGMP Group reported 
Group: 232.1.1.1 
Uptime: 00:00:39 
Expires: off 
Last reporter: 192.168.1.1 
Last-member-query-counter: 0 
Last-member-query-timer-expiry: off 
Group mode: include 
Versionl1-host-present-timer-expiry: of 
Version2-host-present-timer-expiry: off 
Source list: 
Source: 10.1.1.1 
Uptime: 00:00:39 
Expires: 00:01:31 
Last-member-query-counter: 0 
Last-member-query-timer-expiry: of 


此 时 R4 的 PIM 路 由 表 如 下 : 


<R4>display pim routing-table 
VPN-Instance: public net 
Total 1 (S, G) entry 


(10.1.1.1, 232.1.1.1) 
Protocol: pim-ssm, Flag: SG RCVR 
UpTime: 00:00:12 
Upstream interface: GigabitEthernet0/0/1 
Upstream neighbor: 10.1.24.2 
RPF prime neighbor: 10.1.24.2 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: GigabitEthernet0/0/0 
Protocol: igmp, UpTime: 00:00:12, Expires: - 
在 上 述 输出 中 ，protocol 显示 的 是 PIM-SSM 字样 ， 表 示 这 是 一 个 PIM-SSM 表 项 。 


R2 的 PIM 路 由 表 如 下 : 
<R2>display pim routing-table 
VPN-Instance: public net 
Total 1 (S, G) entry 


wD 3 1 
Protocol; pim-ssm, Flag: 
UpTime: 00:00:22 
‘ Upstream interface: GigabitEthernet0/0/0 
Upstream neighbor: 10.1.12.1 
RPF prime neighbor: 10.1.12.1 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: GigabitEthernet0/0/2 
Protocol pim-ssm, UpTime: 00:00:22, Expires: 00:03:;08 
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R1 的 PIM 路 由 表 如 下 : 
<RI>display pim routing-table 
VPN-Instance: public net 
Total 1 (S$, G) entry 


(10,4,1,1, 之 二 
Protocol: pim-ssm, Flag: LOC 
UpTime: 00:00:27 ， 
Upstream interface: GigabitEthernet0/0/0 
Upstream neighbor: NULL 
RPF prime neighbor: NULL 
Downstream interface(s) information: 
Total number of downstreams: 上 
I GigabitEthernet0/0/ 1 
Protocol: pim-ssm, UpTime: 00:;00:27, Expires: 00:03:03 


当然 ， 由 于 R3 并 不 在 SPT 的 分 支 上 ， 因 此 此 时 它 的 PIM 路 由 表 为 空 


12.10 IGMP Snooping 


在 一 个 交换 网 络 中 ， 如 果 部 绚 了 组 播 业 务 ， 那 么 组 播 数 据 将 不 可 避免 地 经 过 一 些 交 
换 设 备 ， 在 这 种 场景 下 ， 有 一 些 问题 需要 格外 关注 。 在 图 12-71 中 ， 以 太 网 二 层 交 换 机 
SW 通过 目 己 的 GE0/0/20 接口 连接 到 组 播 路 由 器 R1， 同 时 它 还 连接 看 一 些 PC。 在 这 些 
中 ，PC1 及 PC2 是 某 个 组 播 组 的 成 员 ， 它 们 将 会 同 网 络 中 发 送 IGMP 成 员 关 系 报告 

告 自己 加 组 , 在 此 之 后 ， 如果 Rl 收 到 Ap 
发 往 该 组 播 给 的 流量 便 会 将 这 些 流量 转 
发 到 该 交换 网 络 ， 那 么 组 成 员 PC1 及 
PC2 都 会 收 到 所 需 的 组 播 流量 ， 但 是 ， 
由 于 缺 省 情况 下 ， 当 交换 机 在 某 个 
VLAN 内 收 到 目的 MAC 地 址 未 知 的 单 
播 帧 、 组 播 帧 或 广播 帧 时 ， 它 都 会 将 这 
些 数据 帧 在 相同 VLAN 内 进行 泛 洪 ， 
此 SW 将 会 把 发 往 该 组 播 组 的 流量 从 自 
己 的 GE0/0/1、GE0/0/2 及 GE0/0/3 等 接 
口 都 转发 出 去 假设 这 些 接口 都 属于 相 [ 忆 a | 
同 的 VLAN)， 这 么 一 来 ， 即 使 有 些 PC pc pr 





(例如 图 中 的 PC3) 不 是 该 组 播 组 的 成 ”组 成 员 组 成 员 非 组 成 员 
员 ， 它 们 也 将 收 到 组 播 流量 ， 这 就 造成 图 12-71 交换 环境 中 的 组 播 转发 问题 


了 网 络 带 宽 和 设备 性 能 的 浪费 。 
12.10.1 IGMP Snooping 简介 


IGMP Snooping (Internet Group Management Protocol Snooping) 技术 主要 用 于 在 交 
换 机 上 优化 组 播 流 量 的 转发 行为 。IGMP 是 组 播 中 颇 为 重要 的 一 个 协议 ， 组 播 路 由 器 通 
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过 IGMP 管理 组 成 员 ， 而 组 播 接收 者 
也 通过 IGMP 宣告 加 组 及 离 组 。 当 路 
由 器 与 组 成 员 之 间 存 在 二 层 交 换 机 
时 ， 缺 省 时 ， 交 换 机 只 是 简单 地 转发 
网 络 中 的 IGMP 报 文 ， 不 会 对 这 些 报 
文 的 内 容 感 兴趣 。 此 外 ， 当 交换 机 在 
某 个 VLAN 内 收 到 组 播 流量 时 ， 它 会 
将 这 些 流量 在 相同 VLAN 内 所 有 接口 
上 进行 泛 洪 《如 图 12-72 所 示 )。 

而 当 交 换 机 部 车 了 IGMP Snooping 
之 后 ， 它 将 会 侦 听 组 成 员 与 IGMP 查 
询 器 之 间 交 互 的 IGMP 报 文 ， 并 解析 : 上 
IGMP 报 文中 的 相关 信息 ， 然 后 结合 ?01 PC2 PC3 

组 成 员 组 成 员 非 组 成 员 
这 些 信息 与 接口 、 VLAN-ID 等 建立 二 a ! 
层 组 播 转发 表 项 ， 这 些 转 发 表 项 将 用 图 12-72 ”交换 机 SW 没有 部 署 IGMP Snooping 时 
于 指导 组 播 流 量 转发 ， 确 保 流量 只 被 转发 到 正确 的 接口 上 。 

在 图 12-73 中 , 在 SW 部 署 了 IGMP Snooping 之 后 ， 当 组 成 员 PC1 及 PC2 通过 IGMP 
成 员 关 系 报告 报 文宣 告 自己 加 组 时 , SW 除了 将 这 些 报 文 转发 给 组 播 路 由 器 R1 之 外 , 还 
会 解析 报 文 中 的 内 容 ， 将 报 文 中 的 组 播 组 地 址 与 接口 GE0/001、GE0/0/2， 以 及 VLAN-ID 
等 信息 进行 绑 定 ， 从 而 创建 二 层 组 播 转发 表 项 。 现 在 ， 当 SW 收 到 R1 发 送 的 组 播 流量 
后 ， 会 根据 二 层 转 发 表 中 的 表 项 将 流量 从 GE0/0/1 及 GE0/0/2 接口 转发 出 去 ， 此 时 非 组 
成 员 的 PC3 将 不 会 收 到 这 些 组 播 流 量 。 因 此 部 署 了 IGMP Snooping 之 后 ， 交 换 机 只 会 ; 
组 播 流 量 从 正确 的 接口 转发 出 去 。 








PC1 PC2 PC3 
组 成 员 组 成 员 非 组 成 员 


图 12-73 ”交换 机 SW 部 署 了 IGMP Snooping 之 后 
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12.10.2 IGMP Snooping 基本 术语 


在 进一步 讲解 IGMP Snooping 的 工作 机 制 之 前 ， 了 解 其 中 的 一 些 接 口角 色 是 非常 有 
必要 的 。 

1. 路 由 器 接口 (Router Port ) 

所 谓 路 由 器 接口 ， 指 的 是 运行 了 IGMP Snooping 的 交换 机 朝向 上 游 组 播 路 由 器 的 接 
口 。 例 如 图 12-73 中 SW 的 GE0/0/20 接口 。 路 由 器 接口 可 通过 动态 的 方式 自动 发 现 ， 也 
可 通过 手工 配置 的 方式 静态 指定 。 对 于 前 者 而 言 ，IGMP Snooping 交换 机 会 将 其 收 到 
IGMP 常规 查询 报 文 或 者 PIM Hello 报 文 的 接口 视 为 动态 路 由 器 接 口 ,交换机 将 在 路 由 器 
接口 上 收 到 上 游 组 播 路 由 器 转发 的 组 播 流量 。 

2. 成 员 接 口 ( Member Port ) 

成 员 接 口 是 IGMP Snooping 交换 机 瑚 同 组 播 组 成 员 的 接口 ， 例 如 图 12-73 中 的 
GE0/0/1 及 GE0/0/2。 成 员 接口 可 通过 动态 的 方式 目 动 发 现 ， 也 可 通过 手工 配置 的 方式 静 
态 指定 。 对 于 前 者 而 言 ，IGMP Snooping 交换 机 会 将 其 收 到 IGMP 成 员 关 系 报告 的 接口 
视 为 动态 成 员 接 口 。 

3. 二 层 组 播 转 发 表 (Layer 2 Multicast Forwarding Table ) 

运行 IGMP Snooping 的 交换 机 会 侦 听 IGMP 查询 器 与 组 成 员 之 间 交 互 的 IGMP 报 文 ， 
并 维护 一 个 重要 的 数据 表 一 一 二 层 组 播 转 发 表 ， 该 表格 中 的 表 项 将 用 于 指导 交换 机 转发 
组 播 流 量 。 在 二 层 组 播 表 项 中 包含 组 播 组 地 址 、 接 口 信 息 《〈 路 由 器 接口 、 成 员 接 口 ) 以 
及 VLAN-ID 等 信息 。 在 交换 机 上 使 用 display 12-multicast forwarding-table 命令 即 可 查 
看 其 二 层 组 播 转发 表 。 下 面 是 一 个 具体 的 例子 : 

<Switch> display DD-multicast forwarding-table vlan 10 

VLAN ID : 10, Forwarding Mode : IP 


(Source, Group) Interface Out-Vlan 
Router-port GigabitEthernet0/0/24 10 
(*, 239.1.1,1) GigabitEthernet0/0/1 10 
GigabitEthernet0/0/2 10 
GigabitEthernet0/0/3 10 
(*, 239.1.1.2) GigabitEthernet0/0/7 10 
GigabitEthernet0/0/8 10 


Total Group(S) : 3 

从 上 面 的 输出 可 以 看 出 ， 交 换 机 Switch 在 VLAN10 中 的 路 由 器 接口 是 GE0/0/24。 
当 其 在 GE0/0/24 接口 上 收 到 发 往 239.1.1.1 的 组 播 流量 时 ， 它 会 将 这 些 组 播 流量 转发 到 
GE0/0/1、GE0/0/2 及 GE0/0/3 接口 ， 而 同样 处 于 VLAN10 中 的 其 他 接口 ， 则 不 会 收 到 该 
组 播 流量 。 同 理 , 如 果 交 换 机 收 到 发 往 239.1.1.2 的 流量 时 , 它 只 会 将 流量 转发 到 GE0/0/7 
及 GE0/0/8 接口 。 


12.10.3 IGMP Snooping 的 工作 机 人 制 | 
本 节 将 通过 一 个 简单 的 案例 来 讲解 IGMP Snooping 的 工作 机 制 。 在 图 12-74 中 ，R1 
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是 最 后 一 跳 组 播 路 由 器 ， 其 连接 交换 机 SW 的 接口 已 经 激活 了 IGMP 〈 本 节 以 IGMPYv2 
为 例 )。SW 是 一 台 以 太 网 二 层 交 换 机 ， 该 交换 机 已 经 部 普 了 1IGMP Snooping，SW 的 所 
有 接口 都 加 入 了 VLAN10。 和 初始 时 SW 的 二 层 组 播 转发 表 是 空 的 ， 因 此 即使 其 收 到 RI1 
转发 的 组 播 流量 ， 它 也 不 会 将 流量 转发 到 任何 接口 。 





rw 





pC1 PC2 PC3 
组 239.1.1.66 成 员 组 239.1.1.66 成 员 非 组 成 员 


图 12-74 IGMP Snooping 工作 机 制 


(1) Ri 的 接口 激活 IGMP 后 ， 开 始 周 期 性 地 发 送 IGMP 常规 查询 报 文 。 

(2) SW 将 在 其 GE0/0/20 接口 收 到 R1 发 送 的 IGMP 常规 查询 报 文 ， 由 于 此 时 SW 
的 IGMP Snooping 路 由 器 接口 列表 为 空 ,因此 它 将 GE0/0/20 添加 到 该 列表 中 ,也 就 是 将 
这 个 接口 指定 为 动态 路 由 器 接口 ， 同 时 为 路 由 器 接口 启动 一 个 老化 计时 器 《该 计时 器 的 
时 间 缺 省 为 180 秒 )。 此 后 如 果 SW 再 次 在 该 接口 上 收 到 IGMP 常规 查询 报 文 , 则 刷新 这 
个 计时 器 。 然后，SW 将 该 IGMP 常规 查询 报 文 从 VLAN10 中 、 除 了 GE0/0/20 接口 之 外 
的 所 有 接口 泛 洪 出 去 ， 如 图 12-75 所 示 。 : 










?|GE0/0/20 IGMP 常规 查询 报 广 
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PC1 og pC3 
组 239.1.1.66 成 员 组 239.1.1.66 成 员 非 组 成 员 
12-75 ”SW 将 IGMP 常规 查询 报 文 从 VLAN10 中 、 除 了 GE0/0/20 接口 之 外 的 所 有 接口 转发 出 去 


(3) PC1、PC2 及 PC3 都 将 收 到 SW 泛 洪 的 IGMP 常规 查询 报 文 。 由 于 PC3 并 非 任 
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何 组 播 组 的 成 员 ， 因 此 它 只 是 简单 地 丢弃 该 报 文 ， 不 会 做 任何 回应 。 而 PC1 及 PC2 是 组 
播 组 239.1.1.66 的 成 员 ， 因 此 它们 各 自发 送 IGMP 成 员 关 系 报告 报 文 。 





| 当 PC1 及 PC2 首次 加 入 组 播 组 239.1.1.66 时 , 它们 可 以 主动 发 送 IGMP 成 员 关 系 
报告 ， 而 无 需 等 待 IGMP 常规 查询 。 


接 下 来 SW 将 在 自己 的 GE0/0/1 及 GE0/0/2 接口 上 收 到 IGMP 成 员 关 系 报告 报 文 ， 
由 于 激活 了 IGMP Snooping， 因 此 SW 将 解析 其 所 收 到 的 IGMP 成 员 关 系 报告 报 文 ， 它 
意识 到 GE0/0/1 及 GE0/0/2 接口 所 连接 的 用 户 需 要 加 入 组 播 组 239.1.1.66, 于 是 它 在 自己 
的 二 层 组 播 转 发 表 中 创建 239.1.1.66 表 项 ， 将 GE0/0/1 及 GE0/0/2 接口 指定 为 该 表 项 的 
动态 成 员 接口 ， 并 分 别 为 这 两 个 接口 启动 老化 计时 器 。 此 后 SW 如 果 再 次 在 这 两 个 接口 
上 收 到 IGMP 成 员 关 系 报告 报 文 ， 则 刷新 该 计时 器 。 紧 接着 ，SW 将 其 收 到 的 IGMP 成 
员 关 系 报 告 报 文 从 路 由 器 接口 GE0/0/20 转发 出 去 ， 如 图 12-76 所 示 。 
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组 239.1.1.66 成 员 组 239.1.1.66 成 员 非 组 成 员 
图 12-76 SW 收 到 IGMP 成 员 关 系 报告 后 ， 会 将 该 报 文 从 所 有 路 由 器 接口 转发 出 去 


此 处 有 一 个 细节 需要 特别 关注 ， 本 书 前 文 曾经 介绍 过 IGMP 成 员 关 系 报告 的 抑制 机 
制 ， 这 个 机 制 的 存在 避免 了 网 段 中 出 现 多 余 的 IGMP 成 员 关 系 报告 。 当 IGMP 查询 器 问 
一 个 网 段 发 送 IGMP 常规 查询 报 文 时 ， 如 果 所 有 的 组 成 员 都 使 用 IGMP 成 员 关 系 报告 报 
文 进行 回复 ， 显 然 是 多 余 的 。 为 了 避免 这 种 情况 ， 当 组 成 员 收 到 IGMP 常规 查询 报 文 后 ， 
会 启动 一 个 时 间 随 机 的 报告 延迟 计时 器 ， 当 该 计时 器 超时 后 ， 组 成 员 才 会 发 送 IGMP 成 
员 关 系 报 告 ， 而 同 网 段 中 其 他 同 组 的 成 员 如 果 收 到 这 个 IGMP 成 员 关 系 报 告 并 且 其 报告 
延迟 计时 器 尚未 超时 ， 则 会 抑制 自己 的 成 员 关 系 报告 。 需要 注意 的 是 , 这 个 机 制 在 IGMP 
Snooping 环境 中 可 能 引发 一 些 问题 。 设 想 一 下 ,在 本 例 中 如 果 PC1 率先 使 用 IGMP 成 员 
关系 报告 回应 R1 的 查询 ， 由 于 IGMP 成 员 关 系 报告 报 文本 质 上 是 一 个 组 播报 文 ， 因 此 
SW 硅 将 这 个 报 文 泛 洪 到 VLAN10 中 的 所 有 接口 ， 那 么 PC2 也 将 会 收 到 该 报 文 ， 而 如 果 
此 时 它 的 报告 延迟 计时 器 尚未 超时 ， 那 么 它 将 抑制 自己 的 IGMP 成 员 关 系 报告 ， 这 样 一 
来 ，SW 的 GE0/0/2 接口 将 无 法 收 到 IGMP 成 员 关 系 报 告 并 导致 老化 计时 器 超时 ，SW 会 
将 该 接口 从 成 员 接口 列表 中 删除 ， 因 此 当 其 收 到 发 往 239.1.1.66 的 组 播 流 量 时 ， 也 就 不 
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会 再 向 GE0/0/2 接口 转发 ， 而 PC2 也 就 无 法 接收 到 组 播 流量 了 。 

IGMP Snooping 考虑 到 了 这 个 场景 , 并 且 提 出 了 应 对 的 办 法 。 运行 了 IGMP Snooping 
的 交换 机 收 到 IGMP 成 员 关 系 报 告 报 文 后 ， 会 将 该 报 文 从 所 有 路 由 器 接口 转发 出 去 ， 但 
是 不 会 将 该 报 文 从 成 员 接口 转发 出 去 ， 这 就 保证 一 个 组 播 组 内 的 成 员 不 会 收 到 其 他 成 员 
发 送 的 IGMP 成 员 关 系 报告 ， 这 就 解决 了 上 面 提 到 的 问题 。 

(4) Rl 收 到 SW 转发 上 来 的 IGMP 成 员 关 系 报告 报 文 后 ， 它 将 维护 相关 组 播 表 项 ， 
并 在 收 到 发 往 239.1.1.66 的 组 播 流 量 后 向 SW 进行 转发 。 而 SW 在 自己 的 GE0/0/20 接口 
收 到 发 往 239.1.1.66 的 组 播 流 量 后 ， 将 首先 查询 自己 的 二 层 组 播 转发 表 项 ， 并 发 现存 在 
匹配 的 表 项 ， 而 且 该 表 项 中 存在 GE0/0/1 及 GE0/0/2 这 两 个 成 员 接口 ， 因 此 它 将 组 播 流 
量 从 这 两 个 接口 转发 出 去 ， 而 不 是 该 组 播 组 成 员 的 PC3 则 不 会 收 到 这 些 组 播 流量 。 

(5) 现在 ，PC1 要 离开 组 播 组 239.1.1.66， 它 向 网 络 中 发 送 一 个 IGMP 离 组 报 文 。 
SW 将 在 其 GE0/0/1 接口 上 收 到 这 个 报 文 。 SW 查询 自己 的 二 层 组 播 转发 表 后 发 现 , 该 接 
口 是 组 播 组 239.1.1.66 的 成 员 接 口 ， 因 此 它 将 这 个 报 文 从 所 有 的 路 由 器 接口 (也 就 是 
GE0/0/20 接口 ) 转发 出 去 ， 如 图 12-77 所 示 。 


Pa 
本 
» 
. 
. 
" 
条 
. 
条 
全 
大 
. 
和 
再 
» 
. 
二 
大 
. 





PC1 PC2 PC3 
组 239.1.1.66 成 员 组 239.1.1.66 成 员 非 组 成 员 


图 12-77 SW 在 成 员 接 口上 收 到 IGMP 离 组 报 文 后 会 将 报 文 从 所 有 的 路 由 器 接口 转发 出 去 


(6) Rl 收 到 PC1 发 送 的 IGMP 离 组 报 文 后 ， 立 即 发 送 IGMP 特定 组 查询 报 文 。 

(7) SW 将 在 其 GE0/0/20 接口 上 收 到 这 个 IGMP 特定 组 查询 报 文 ， 它 将 这 个 报 文 从 
除了 GE0/0/20 接口 之 外 的 、VLAN10 中 的 所 有 接口 转发 出 去 。 

(8) PC2 收 到 这 个 IGMP 特定 组 查询 报 文 后 ， 发 现 查 询 器 所 查询 的 正 是 目 己 所 在 的 
组 播 组 ， 于 是 它 立 即 回应 IGMP 成 员 关 系 报 告 报 文 。 

(9) SW 将 在 其 GE0/0/2 接口 上 收 到 这 个 IGMP 成 员 关系 报告 报 文 ， 它 查询 自己 的 
二 层 组 播 转发 表 项 后 发 现 ， 接口 GE0/0/2 已 经 是 组 播 组 239.1.1.66 的 成 员 接口 ， 因 此 它 
刷新 该 接口 的 老化 计时 器 ， 然 后 将 IGMP 成 员 关 系 报告 从 路 由 器 接口 (GE0/0/20) 转 
发 出 去 。 

(10) Rl1 收 到 PC2 发 送 的 IGMP 成 员 关 系 报告 后 ， 意 识 到 网 段 中 还 存在 239.1.1.66 的 
组 成 员 ， 因 此 继续 回 该 网 段 转发 239.1.1.66 的 组 播 流 量 。 


第 12 章 组 播 601 


(11) 由 于 PCI1 已 经 离开 了 组 播 组 239.1.1.66， 因 此 它 不 再 发 送 IGMP 成 员 关 系 报告 
报 文 。 一 段 时 间 后 ， 成 员 接 口 GE0/0/1 的 老化 计时 器 将 会 超时 ， 于 是 SW 将 其 从 组 播 组 
239.1.1.66 的 成 员 接 口 列 表 中 删除 , 此 后 , SW 不 再 向 GE0/0/1 接口 转发 该 组 播 组 的 流量 。 


12.10.4 ”IGMP Snooping 代理 


IGMP Snooping 固然 可 以 优化 交换 网 络 中 的 组 播 流量 转发 行为 ， 然 而 它 同时 也 带 来 
了 一 些 问 题 。 在 图 12-78 中 ，R1 连接 SW 的 接口 作为 该 网 段 的 IGMP 查询 器 周期 性 地 向 
下 游 发 送 IGMP 常规 查询 报 文 ， 大 家 已 经 知道 SW (已 经 激活 了 IGMP Snooping) 收 到 
该 报 文 后 会 问 相 同 VLAN 中 所 有 的 接口 进行 转发 。 组 成 员 收 到 IGMP 常规 查询 报 文 后 ， 
会 立即 发 送 IGMP 成 员 关 系 报告 报 文 ， 而 SW 只 是 简单 地 将 这 些 IGMP 成 员 关 系 报告 报 
文 原封 不 动 地 从 自己 的 路 由 器 接口 转发 出 去 。 如 此 一 来 ,R1 将 收 到 大 量 的 IGMP 成 员 关 
系 报告 ， 然 而 实际 上 对 于 R1 而 言 它 只 需 知 道 自 己 的 直 连 接口 上 存在 组 播 组 的 成 员 即 可 ， 
换 句 话说 ， 它 只 需要 在 每 个 组 播 组 内 收 到 一 份 IGMP 成 员 关 系 报告 即 可 ， 多 余 的 报告 只 
是 徒 增 R1 的 处 理 负 担 ， 是 没有 意义 的 。 





组 成 员 组 成 员 组 成 员 组 成 员 

图 12-78 ”SW 将 组 成 员 发 送 的 IGMP 成 员 关 系 报告 报 文 或 离 组 报 文 原封 不 动 地 从 路 由 器 接口 转发 出 去 

IGMP Snooping 代理 〈IGMP Snooping Proxy) 功能 可 以 解决 上 述 问题 。 当 交换 机 部 
署 IGMP Snooping 代理 后 ， 它 将 变 成 IGMP 查询 器 与 组 成 员 之 间 的 “代理 人 ”， 并 通过 
一 些 操作 减少 网 络 中 的 IGMP 报 文 数量 。 

IGMP Snooping 代理 主要 有 两 个 功能 。 

(1) 代替 上 游 IGMP 查询 器 ， 自 己 生成 IGMP 查询 报 文 并 向 下 游 的 组 成 员 进行 查询 ; 

(2) 代替 下 诉 组 成 员 ， 目 己 生成 IGMP 成 员 关 系 报告 报 文 或 IGMP 离 组 报 文 并 发 送 
给 上 游 组 播 路 由 器 。 

依然 以 图 12-78 为 例 ， 如 果 在 SW 上 部 署 IGMP Snooping 并 激活 IGMP Snooping 代 
理 功 能 ， 会 产生 以 下 情况 。 

(1) 当 SW 在 其 接口 上 收 到 R1 发 送 的 IGMP 常规 查询 报 文 时 ，SW 将 该 报 文 从 相同 
VLAN 中 、 除 了 接收 该 报 文 的 接口 之 外 的 所 有 接口 转发 出 去 。 如 果 此 时 SW 的 二 层 组 播 
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转发 表 项 中 ， 存 在 某 个 组 播 组 的 成 员 接 口 ， 这 意味 着 SW 连接 着 该 组 播 组 的 至 少 一 个 成 
员 , 于 是 SW 目 己 生成 一 个 IGMP 成 员 关 系 报告 报 文 并 从 路 由 器 接口 发 送出 去 。R1 收 到 
该 报 文 后 将 刷新 自己 的 相关 转发 表 项 。 

(2) 当 SW 收 到 下 游 的 组 成 员 发 送 的 IGMP 成 员 关 系 报告 报 文 时 ， 如 果 SW 的 二 
组 播 转发 表 中 己 经 存在 相关 转发 表 项 ,并 且 收 到 该 报 文 的 接口 已 经 是 该 表 项 的 成 员 接 口 ， 
那么 它 只 是 刷新 成 员 接口 的 老化 计时 器 ， 而 不 会 癌 路 由 器 接口 转发 这 些 IGMP 报 文 。 如 
果 SW 存在 相关 转发 表 项 但 是 收 到 该 报 文 的 接口 并 非 该 表 项 的 成 员 接 口 ， 那 么 它 只 将 该 
接口 添加 到 成 员 接口 列表 中 ， 并 且 不 会 网 路 由 器 接口 转发 这 些 IGMP 报 文 。 如 果 SW 的 
二 层 组 播 转发 表 并 不 存在 相关 转发 表 项 ， 则 创建 对 应 的 转发 表 项 ， 然 后 将 收 到 该 报 文 的 
接口 添加 到 成 员 接口 列表 中 ， 并 回路 由 器 接口 转发 该 IGMP 成 员 关 系 报告 报 文 。 

(3) 当 SW 在 成 员 接 口上 收 到 IGMP 离 组 报 文 时 ，SW 将 代理 IGMP 查询 器 立即 从 
该 成 员 接 口 发 送 IGMP 特定 组 查询 报 文 ， 如 果 一 定时 间 后 ， 依 然 没 有 在 该 接口 上 收 到 
IGMP 成 员 关 系 报 告 报 文 ， 则 SW 确定 该 接口 下 不 再 存在 该 组 播 组 的 成 员 ， 于 是 将 该 接 
口 从 相应 表 项 的 成 员 接 口 列 表 中 删除 。 如 果 这 个 操作 完成 之 后 ， 该 组 播 组 依然 存在 其 他 
成 员 接口 ， 那 么 SW 将 不 会 从 路 由 器 接口 发 送 IGMP 离 组 报 文 ， 而 如 果 此 时 该 组 播 组 已 
经 没有 其 他 成 员 接口 了 ， 那 么 SW 将 立即 从 路 由 器 接口 发 送 IGMP 离 组 报 文 。 


12.10.5 “案例 1: IGMP Snooping 基础 配置 


在 图 12-74 中 ， 假 设 SW 的 所 有 接口 均 加 入 VLAN10， 那 么 在 SW 上 部 署 IGMP 
Snooping 的 配置 如 下 : 


[SW]igmp-Snoopling enable 
[SWj]vlan 10 
[SW-vlan10]igmp-snooping enable 


在 上 述 配 置 中 ,在 系统 视图 下 执行 的 igmp-snooping enable 命令 用 于 全 局 激活 IGMP 
Snooping， 完 成 这 一 步 还 不 够 ， 还 需要 在 特定 的 VLAN 配置 视图 下 执行 igmp-snooping 
enable 命令 ， 如 此 一 来 ， 交 换 机 即 会 在 该 VLAN 中 激活 IGMP Snooping， 并 维护 二 层 组 
播 转发 表 项 。 

缺 省 情况 下 , 激活 交换 机 的 IGMP Snooping 功能 后 , 它 可 以 处 理 IGMPv1 及 IGMPv2 
的 报 文 , 但 是 无 法 处 理 IGMPv3 的 报 文 , 因此 如 果 需 要 使 设备 能 够 处 理 IGMPv1、IGMPv2 
及 IGMPv3 报 文 ， 则 需 在 设备 的 VLAN 配置 视图 下 执行 gmp-snooping version 3 命令 。 

当 IGMP Snooping 开始 工作 后 ， 可 以 在 交换 机 上 查看 相关 数据 ， 首 先 ， 使 用 display 
igmp-snooping port-info 命令 可 以 但 看 组 播 组 的 成 员 接 口 列表 ， 例 如 : 


<SW> display igmp-snooping Port -info vlan 10 


人 oem < we mm mm ee < My own oP wp me eve to oem ase ah pas oe en my < al ee ome wperp bm Ce gao tp ep ee ep qin oo eee 人 eg Ge oe Ai bit mm np oop ge ep gg 人 mp Gap oe mm ce oem ng em que see ao ee ap ne < oe cm eee < we co wm 


(Source, Group) Port Flag 
Flag: S:Static D:Dynamic M: Ssm-mapping 
VLAN 10,3 Entry(s) 
(*, 239.1.1.66) ~ GE0/0/1 -D- 
GE0/0/2 D- 


2 port(s) 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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从 上 述 输出 可 以 看 出 ， 组 239.1.1.66 中 存在 两 个 成 员 接 口 ， 它 们 分 别 是 GE0/0/1 及 
GE0/0/2， 而 这 两 个 接口 都 是 动态 发 现 的 ， 这 通过 接口 的 标记 (Flag) 可 以 得 知 ， 这 里 的 
D 表示 Dynamic (动态 )。 

在 交换 机 上 使 用 display 12-multicast forwarding-table vlan 命令 , 则 可 查看 该 交换 机 
的 二 层 组 播 转 发 表 ， 例 如 在 SW 上 执行 该 命令 ， 可 以 看 到 如 下 输出 : 

<SW> display 12-multicast forwarding-table vlan 10 

VLAN ID : 10, Forwarding Mode :; IP 


(Source, Group) Interface Out-Vlan 
Router-port GigabitEthernet0/0/20 10 
(*,239.1.1.66) GigabitEthemet0/0/1  ， 10 
GigabitEthernet0/0/2 | 10 


Total houpth 1 

从 上 述 输出 可 以 看 出 ， 在 VLAN10 中 ,交换 机 发 现 了 路 由 器 接口 GE0/0/20, 而 而 在 组 
播 组 239.1.1.66 中 ， 存 在 eh 及 GE0/0/2 这 两 个 成 员 接 口 。 交 换 机 可 以 自动 地 发 现 
路 由 右 接 口 (动态 接口 )， 它 会 将 收 到 IGMP 常规 查询 报 文 或 PIM Hello 报 文 的 接口 自动 
识 列 为 路 由 器 接口 。 my 交换 机 还 文 持 手工 指定 路 由 器 接口 。 在 接口 配置 
视图 下 ， 使 用 igmp-snooping static-router-port 命令 ， 即 可 将 特定 的 接口 指定 为 静态 路 
由 堆 接 口 。 


12.10.6 ”案例 2: 使 用 静态 接口 实现 二 层 组 播 


在 图 12-74 中 ，PC1 及 PC2 是 组 播 组 239.1.1.66 的 成 员 。 假 设 交 换 机 所 连接 的 

239.1.1.66 的 组 成 员 在 网 络 中 长 期 存在 ,它们 希望 能 够 长 期 、 稳定 地 接收 该 组 播 组 的 流量 ， 

因此 Ri 在 其 连接 交换 机 的 接口 上 配置 了 igmp static-group 239.1.1.66 命令 ， 从 而 将 该 接 
口 静态 地 加 入 组 播 组 239.1.1.66， 并 且 R1 并 没有 在 其 连接 SW 的 接口 上 激活 IGMP。 

在 上 上述 背景 之 下 ， 为 了 控制 二 层 交 换 网 络 中 组 播 流量 的 泛 洪 ，SW 部 署 了 IGMP 
Snooping。 由 于 R1 并 未 激活 IGMP， 因 此 组 成 员 PC1 及 PC2 很 可 能 只 在 首次 加 组 时 发 
送 一 次 IGMP 成 员 关 系 报 告 之 后 ， 就 不 再 回 网 络 中 发 送 该 报 文 了 (因为 没有 收 到 IGMP 
查询 报 文 )， 这 了 束 会 导致 SW 因为 长 时 间 无 法 在 其 GE0/0/1 及 GE0/0/2 接口 上 收 到 IGMP 
成 员 关 系 报告 ， 而 将 这 两 个 接口 从 对 应 的 二 层 组 播 转发 表 项 的 成 员 接口 列表 中 删除 ， 如 
此 一 来 SW 便 不 会 再 将 发 往 239.1.1.66 的 组 播 流 量 转发 到 这 两 个 接口 ，PC1 及 PC2 自然 
就 无 法 再 收 到 组 播 流量 了 。 

为 了 确保 PC1 及 PC2 能 够 持续 、 稳 定 地 接收 组 播 流量 。 在 本 例 中 ， 在 SW 上 激 
活 IGMP Snooping 后 , 可 以 通过 手工 配置 的 方式 为 SW 指定 静态 路 由 器 接口 及 静态 成 
员 接 口 。 

的 GMP Snooping 的 配置 : 

[SWjigmp-snooping enable 

[SW]vlan 10 


[SW-vlan10]igmp-snooping enable 
[SW-vlan10]quit 


# 配 置 静态 路 由 器 接口 
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[SW]interface gigabitethernet 0/0/20 
[SW-GigabitEthernet0/0/20]igmp-snooping static-router-port vlan 10 
[SW-GigabitEthernet0/0/20]quit 


# 配 置 静态 成 员 接口 : 

[SW]interface gigabitethernet 0/0/1 

[SW-GigabitEthernet0/0/1]12-multicast static-group group-address 239.1.1.66 vlan 10 

[SW-GigabitEthernet0/0/1]quit 

[SWl]interface gigabitethernet 0/0/2 

[SW-GigabitEthernet0/0/2]12-multicast static-group group-address 239.1.1.66 vlan 10 

在 上 述 配 置 中 , igmp-snooping static-router-port 命令 用 于 将 交换 机 的 接口 指定 为 静 
态 路 由 器 接口 。12-multicast static-group group-address 命令 则 用 于 将 接口 配置 为 特定 组 
播 组 〈 可 以 是 单个 组 播 组 ， 也 可 以 是 一 个 组 播 组 的 范围 ) 的 静态 成 员 接 口 。 

在 SW 上 使 用 display igmp-snooping router-port 命令 可 以 查看 特定 YLAN 中 的 路 
由 妖 接 口 : 

<SW> display igmp-snooping router-port vlan 10 

Port Name UpTime Expires Flags 


VLAN 10, lrouter-port(s) 

GE0/0/20 00:00:09 STATIC 
接 下 来 再 看 看 SW 的 成 员 接 口 信息 : 
<Switch> display igmp-snooping port-info vlan 10 


(Source, Group) Port Flag 
Flag: S:Static D:Dynamic M: Ssm-mapping 
VLAN 10, 1 Entry(s) 
(*, 239.1.1.66) GE0/0/1 y= 
GE0/0/2 S- 
之 port(S) 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 -一 一 一 -一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 -一 -一 一 一 一 一 一 一 -- 一 一 一 -一 一 -一 一 一 一 一 一 一 


从 上 述 输 出 可 以 看 到 , SW 在 组 播 组 239.1.1.66 中 存在 GE0/0/1 及 GE0/0/2 两 个 静态 
成 员 接 口 ， 这 两 个 接口 的 标记 都 为 S$， 意 思 是 静态 (Static)。 

现在 ， 您 应 该 已 经 想象 到 SW 的 二 层 组 播 转发 表 是 什么 内 容 丁 : 

<SW> display l2-multicast forwarding-table vlan 10 

VLAN ID : 10, Forwarding Mode : IP 


(Source, Group) Interface Out-Vlan 
Router-port GigabitEthernet0/0/20 10 
(*, 239,1.1.66) GigabitEthernet0/0/1 10 
GigabitEthernet0/0/2 10 


CC 一 CC 人 CCC 


Total Group(s): 1 
12.10.7 案例 3: IGMP Snooping 代理 
在 图 12-78 中 ，R1 是 最 后 一 跳 路 由 器 ，SW 是 一 台 以 太 网 二 层 交 换 机 ，SW 下 联 着 


大 量 的 组 成 员 (运行 IGMPv2)， 由 于 组 成 员 数 量 太 多 ， 因 此 可 在 SW 上 部 署 IGMP 
Snooping 代理 ， 来 减轻 R1 的 负担 。 
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SW 的 配置 如 下 : 
[SW]igmp-snooping enable 
[SW]vlan 10 
[SW-vlan10jigmp-snooping enable 
[SW-vlan10]jigmp-Snooping proxy 5 
在 VLANI0 的 配置 视图 下 执行 jgmp-snooping proxy 命令 后 ，SW 将 在 VLAN10 中 
激活 IGMP Snooping 代理 功能 。 在 SW 上 执行 display igmp-snooping statistics 命令 ， 可 
查看 IGMP Snooping 的 报 文 统计 信息 , 通过 这 些 信息 的 输出 , 可 以 观察 到 IGMP Snooping 
代理 的 工作 情况 : 
<SW> display igmp-snooping statistics vlan 10 
IGMP Snooping Packets Counter 
Statistics for VLAN 10 
RecvV1 Report 0 
Recv V2 Report 83 
Recv V3 Report 0 
RecevVl Query 0 
Recvy V2Query 0 
RecvV3 Query 0 


Recv Leave 82 

Recv Pim Hello 0 

Send Query(S=0)0 

Send Query(S!=0)0 

Suppress Report 0 

Suppress Leave 0 

Proxy Send General Query 116 
Proxy Send Group-Specific Query 79 


Proxy Send Group-Source-Specific Query 0 


从 以 上 统计 信息 可 以 看 出 ，IGMP Snooping 代理 已 经 在 工作 过 程 当中 。 


12.11 习题 


1. 〈 单 选 ) 以 下 关于 IGMP 的 说 法 ， 错 误 的 是 ( ) 
A. IGMP 主要 用 于 最 后 一 跳 组 播 路 由 器 与 组 成 员 之 间 。 
B. IGMPv1 没有 具体 定义 组 成 员 离 开机 制 。IGMPv2 组 成 员 离 开 组 播 组 时 ， 可 
以 主动 发 送 离 组 报 文 。 
C. 组 成 员 收 到 IGMPv2 普 过 组 碍 询 报 文 时 ， 为 了 第 一 时 间 让 IGMP 查询 器 知晓 
自己 的 存在 ， 会 立即 回应 IGMPv2 成 员 关 系 报 告 报 文 。 
D. 当 一 个 网 段 内 存在 多 台 IGMPv2 查询 器 时 ， 接 口 IP 地 址 最 小 的 路 由 器 会 成 
为 该 网 段 的 IGMP 查询 器 。 
2. 〈 单 选 ) 以 下 关于 PIM 的 说 法 ， 错 误 的 是 ( ) 
A. PIM-DM 适用 于 规模 较 小 、 组 成 员 分布 较 为 密集 的 网 络 。 
B. PIM-SM 适用 于 组 成 员 分 布 较为 稀 玖 的 网 络 。 
C. PIM-DM 的 工作 无 需 RP。 
D. PIM-SM 只 使 用 RPT， 不 使 用 SPT。 
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3. (多 选 )(*，G) 组 播 路 由 表 项 中 ,包含 ( ) 


A. 组 播 源 地 址 B. 组 播 组 地 址 
C. 上游 接 口 D. 下 游 接口 
4. (多 选 ) PIM-SM 的 工作 机 制 中 ,包含 ( ) 
A. RPT 加 入 过 程 B. 组 播 源 的 注册 过 程 
C. 扩散 及 前 术 D. RPT 到 SPT 的 切换 过 程 


5. 〈 多 选 ) 以 下 关于 IGMP Snooping， 正 确 的 是 ( ) 

A. 缺 省 情况 下 ， 以 太 网 二 层 交 换 机 不 会 分 析 IGMP 报 文 ， 但 是 运行 IGMP 
Snooping 后 ， 会 开始 侦 听 并 分 析 IGMP 报 文 ， 并 维护 二 层 组 播 转发 表 项 。 

B. 在 IGMP Snooping 中 , 路 由 器 接口 指 的 是 交换 机 瑚 向 上 游 组 播 路 由 器 的 接口 ， 
成 员 接口 则 是 交换 机 朝 问 组 播 组 成 员 的 接口 。IGMP Snoopng 路 由 器 接口 或 
成 员 接口 都 支持 自动 发 现 及 手工 指定 两 种 方式 。 

C. 运行 IGMP Snooping 的 交换 机 会 维护 二 层 组 播 转发 表 ， 该 表 中 的 表 项 将 用 于 
指导 交换 机 转发 组 播 流 量 。 在 二 层 组 播 表 项 中 ， 包 含 者 几 个 重要 信息 : 组 播 
组 地 址 、 接 口 信息 以 及 VLAN-ID 等 。 

D. 在 系统 视图 下 执行 igmp-snooping enable 命令 , 即 可 全 局 激活 IGMP Snooping， 
此 时 交换 机 将 在 所 有 VLAN 中 目 动 激活 DHCP Snooping。 


Vl 
OBOE 
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13.1 MPLS 基础 


13.1.1 MPLS 概述 


传统 的 I 了 P 路 由 基于 报 文 的 IP 头 部 中 的 目的 卫 地址 进行 寻 址 及 转发 操作 ， 所 有 的 路 
由 设备 需 维护 路 由 表 用 于 指导 数据 转发 。 路 由 设备 执行 路 由 查询 时 ， 依 据 最 长 前 级 匹 配 
原则 进行 操作 。 在 IP 技术 发 展 的 早期 ，IP 路 由 查询 操作 依赖 软件 进行 ， 工 作 效率 非常 
有 限 ， 随 大 数据 业务 的 迅猛 发 展 ， 这 种 转发 机 制 逐 渐 无 法 适应 当时 的 需求 ， 加 上 在 某 些 
复杂 的 场景 中 , 还 涉及 路 由 的 递归 查询 等 操作 , 这 更 加 影响 了 IP 路 由 的 执行 速度 。 后 来 ， 
出 现 了 一 些 新 的 技术 ， 其 中 之 一 就 是 标签 交换 技术 ， 例 如 ATM (Asynchronous Transfer 
Mode) 等 ， 标 签 交 换 技术 在 当时 提供 了 比 IP 路 由 更 高 效 的 转发 机 制 。 再 后 来 ，MPLS 
(Multi-Protocol Label Switching， 多 协议 标签 交换 ) 的 出 现 整合 了 IP 及 ATM 后 并 
是 提供 了 对 IP 的 民 好 集成 ， 逐 渐 成 为 一 项 重要 是 热门 的 技术 。 

在 MPLS 的 定义 中 ， 多 协议 (Multi-Protocol) 指 的 是 MPLS 技术 能 够 支持 多 种 网 络 
协议 ， 例 如 IPv4、IPv6、CLNP (Connectionless Network Protocol) 等 。MPLS 能 够 承载 
单 播 IPv4、 组 播 IPv4、 单 播 IPv6、 组 播 IPv6 等 业务 ， 因 此 文 持 的 业务 类 型 非常 丰富 ; 
此 外 , 标签 交换 指 的 是 MPLS 设备 能 够 为 IP 报 文 增加 标签 信息 , 并 且 基 于 标签 信息 对 报 
文 进 行 转 发 , 这 提高 了 数据 的 转发 效率 。 当然 MPLS 的 优势 不 仅仅 是 转发 效率 上 的 提升 ， 
更 重要 的 是 它 解 决 了 一 系列 关键 问题 、 带 来 了 一 些 新 的 应 用 , 例如 在 VPN (Virtual Private 
Network， 虚 拟 专用 网 ) 及 流量 工程 (Traffic Engineering，TE) 中 的 应 用 等 。 

随 着 硬件 技术 的 突破 ，ASIC (Application Specific Integrated Circuit， 专 用 集成 电路 ) 被 
用 于 提升 IP 路 由 查询 的 执行 效率 ，IP 路 由 的 执行 速度 被 极 大 程度 地 提升 了 ， 现 如 今 MPLS 
在 提升 转发 效率 方面 的 优势 已 经 不 再 明显 ， 但 是 它 的 其 他 优势 依然 为 行业 创造 着 重大 价值 。 

图 13-1 展示 了 一 个 非常 简单 的 MPLS 网 络 ， 在 该 示例 中 ，R1、R2、R3 及 R4 构成 
的 这 个 MPLS 网 络 ， 我 们 将 其 称 为 MPLS 域 (MPLS Domain )， 或 者 MPLS 网 络 。 由 于 
运行 了 特定 的 机 制 ， 这 些 设备 因而 具备 标签 交换 的 能 力 ， 能 够 根据 报 文中 的 标签 信息 进 
行 转发 操作 。 

部 | 数据 可 











IP 头 部 数据 载荷 


数据 载荷 








图 13-1 MPLS 概述 
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简单 地 说 ，MPLS 技术 其 实 就 是 在 原 有 了 PP 报 文 的 基础 之 上 增加 MPLS 标签 头 部 ， 标 
答 头 部 被 压 入 到 报 文 的 二 层 头 部 之 后 、 三 层 头 部 (通常 就 是 IP 头 部 ) 之 前 。 在 MPLS 
域 中 ， 携 珊 了 标签 头 部 的 报 文 是 基于 该 头 部 中 标签 进行 转发 的 ， 这 使 得 转发 设备 无 需 层 
层 解 封装 该 报 文 ， 直 至 它们 看 到 报 文 的 目的 耳 地 址 。 再 者 ， 由 于 原始 报 文 被 压 入 了 标签 
头 部 ， 因 此 IP 头 部 以 及 报 文 载荷 被 “隐藏 ”在 标签 头 部 后 面 ， 这 就 可 以 解决 诸多 问题 ， 
例如 路 由 黑洞 〈 转 发 设备 无 需 知 晓 关 于 报 文 目的 IP 地 址 的 路 由 信息 ) 等 。 

MPLS 的 典型 应 用 主要 有 。 

。 基于 MPLS 的 VPN; 

。 基于 MPLS 的 流量 工程 等 。 


13.1.2 “MPLS 术语 


。 LSR (Label Switch Router， 标 签 交 换 路 由 器 ) 

LSR 指 的 是 激活 了 MPLS 的 路 由 器 ， 或 者 说 激活 了 MPLS 标签 交换 功能 的 路 由 器 ， 
这 些 路 由 右 维 护 看 用 于 指导 标签 报 文 转发 的 信息 ， 并 且 能 够 依据 这 些 信 息 对 标签 报 文 进 
行 处 理 。 此 外 ， 它 们 也 能 根据 需要 ,将 IP 报 文 处 理 成 标签 报 文 ， 或 者 将 标签 报 文 处 理 成 
IP 报 文 。 

实际 上 MPLS 不 仅仅 能 够 被 部 署 在 路 由 器 上 ， 它 同样 能 够 被 应 用 在 三 层 交 换 机 等 设 
备 上 《要 求 设 备 具备 相关 功能 )。 严 格 的 说 ，LSR 指 的 是 激活 了 标签 交换 能 力 的 网 络 设 
备 ， 路 由 器 在 此 人 处 仅 是 一 个 代表 性 的 设备 。 在 图 13-1 中 ，R1、R2、R3 及 R4 均 是 LSR。 

e Ingress LSR (入 站 LSR) 

入 站 LSR 通常 指 的 是 将 卫 报 文 进行 处 理 ， 压 入 标签 头 部 并 生成 标签 报 文 的 LSR 。 
入 站 LSR 往往 处 于 MPLS 域 的 边界 ， 例 如 图 13-1 中 的 R1。 当 1.1.1.0/24 网 络 中 的 设备 
发 送 IP 报 文 给 2.2.2.0/24 网 络 时 ，IP 报 文 到 达 Rl 后 ，R1 首先 在 自己 的 FIB 表 中 查询 目 
的 IP 地 址 ， 当 它 意识 到 该 全 报 文 需要 进入 MPLS 域 并 执行 标签 转发 后 ,，R1 在 报 文 的 IP 
头 部 之 前 插入 MPLS 标签 头 部 , 在 该 标签 头 部 中 写 入 标签 值 1029, 然后 将 标签 报 文 转发 
出 去 。 因 此 对 于 Rl 而 言 ， 它 是 1.1.1.0/24 网 络 到 达 2.2.2.0/24 网 络 时 的 入 站 LSR。 

e TransitLSR (中转 LSR) 

中 转 LSR 指 的 是 将 标签 报 文 进行 处 理 ， 例 如 执行 标签 置换 等 操作 《在 “MPLS 标签 
基本 操作 类 型 ”一 节 中 介绍 )， 然 后 将 处 理 后 的 标签 报 文 继续 在 MPLS 域内 转发 的 LSR。 
在 图 13-1 中 ,R2 及 R3 便 是 1.1.1.0/24 网 络 到 达 2.2.2.0/24 网 络 时 的 中 转 LSR。 当 1.1.1.0/24 
网 络 中 的 设备 发 送 IP 报 文 给 2.2.2.0/24 网 络 时 ， 入 站 LSR (R1) 将 全 报 文 处 理 后 形成 
标签 报 文 ， 并 转发 给 下 一 跳 设 备 R2，R2 收 到 该 标签 报 文 后 ， 在 相应 的 数据 表 中 查询 该 
报 文 携 市 的 标签 值 (1029)， 根 据 查 询 的 结果 将 报 文 的 标签 进行 置换 (置换 成 1031)， 然 
后 将 标签 报 文 转发 给 R3， 后 者 收 到 该 标签 报 文 后 同样 进行 标签 置换 操作 ， 将 标签 1031 
置换 为 1033， 然后 转发 给 R4。 对 于 R2 及 R3 而 言 ， 它 们 对 标签 报 文 的 IP 头 部 中 的 信息 
并 不 感 兴 

e 了 gressLSR (出 站 LSR ) 

出 站 LSR 通 向 指 的 是 将 标签 报 文中 的 标签 头 部 移 除 ， 并 将 报 文 还 原 为 IP 报 文 的 
LSR。 当 1.1.1.0/24 网 络 中 的 设备 发 送 IP 报 文 给 2.2.2.0/24 网 络 时 , 报 文 进入 MPLS 域 并 
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经 由 R3 转发 给 R4 后 ，R4 将 报 文 的 标签 头 部 移 除 后 ， 还 原 成 原始 的 IP 报 文 然后 转发 到 
2.2.2.0/24 网 络 ， 因 此 R4 此 时 便 是 一 台 出 站 LSR。 其 实 入 站 及 出 站 LSR 是 一 个 相对 的 概 
念 。 对 于 从 1.1.1.0/24 网 络 到 达 2.2.2.0/24 网 络 的 流量 而 言 ，R1 是 入 站 LSR，R4 是 出 站 
LSR， 而 对 于 回程 的 流量 而 言 ，R4 便 是 入 站 LSR， 而 Rl1 则 是 出 站 LSR。 

。 Label (标签 ) 

当 一 个 IP 报 文 进入 MPLS 域 时 ，MPLS 标签 头 部 被 压 入 到 了 报 文 的 IP 头 部 之 前 、 
二 层 头 部 之 后 。 标 签 头 部 的 长 度 是 固定 的 ,在 标签 头 部 中 ,“ 标 签 ” 字 段 填 写 的 便 是 相应 
的 标签 值 。 在 MPLS 域内 ， 中 转 LSR 根据 报 文 所 携带 的 标签 进行 数据 转发 ， 它 们 不 会 关 
心 标签 报 文中 的 IP 头 部 信息 〈 不 关心 报 文 的 目的 耳 地址)。 

一 个 标签 报 文 可 能 包含 一 个 标签 头 部 ， 也 可 能 包含 多 个 ， 这 些 标签 头 部 按照 一 定 的 
顺序 排列 ， 此 时 该 报 文 所 携带 的 标签 头 部 就 构成 了 一 个 标签 栈 (Label Stack)， 实 际 上 当 
报 文 仅 含 一 层 标签 头 部 时 ， 该 标签 头 部 也 可 被 理解 为 标签 栈 ， 只 不 过 它 既 是 栈 底 同 时 又 
是 栈 顶 。 关 于 MPLS 标签 ， 本 书 将 在 下 一 小 节 中 详细 介绍 。 

。 FEC (Forwarding Equivalence Class， 等 价 转发 类 ) 

FEC 指 的 是 具有 相同 特征 的 报 文 , 这 些 报 文 在 LSR 转发 过 程 中 采用 相同 的 方式 进行 
处 理 。MPLS 标签 通常 是 与 FEC 相对 应 的 ， 网 络 管理 员 必 须 通 过 某 种 机 制 使 得 MPLS 网 
络 中 的 LSR 能 够 获得 关于 FEC 的 标签 信息 。FEC 可 以 通过 多 种 方式 进行 划分 ， 例 如 通 
过 目的 网 络 地 址 及 网 络 掩 码 、DSCP 等 特征 来 划分 。 

在 实际 应 用 中 ， 关 于 FEC 的 最 常见 的 例子 之 一 是 : 目的 IP 地 址 匹配 同一 条 路 由 的 
报 文 ， 这 些 报 文 被 认为 属于 同一 个 FEC。 在 图 13-1 中 ， 所 有 发 往 2.2.2.0/24 的 报 文部 被 
认为 属于 同一 个 FEC， 当 RI1 在 自己 的 接口 上 收 到 发 往 该 网 段 的 报 文 后 ，R1 为 它们 压 入 
相同 的 标签 , MPLS 域 中 所 有 的 LSR 都 采用 相同 的 方式 来 处 理 这 些 报 文 。 因此 在 本 例 中 ， 
路 由 2.2.2.0/24 就 对 应 了 一 个 FEC。R1、R2、R3 及 R4 都 必须 拥有 关于 该 FEC 的 标签 转 
发 信息 。 

。LSP (Label Switched Path， 标 签 交 换 路 径 ) 

LSP 指 的 是 报 文 在 MPLS 域内 的 转发 过 程 中 所 经 过 的 路 径 。LSP 需要 在 数据 转发 开 
始 之 前 建立 完成 ， 只 有 这 样 报 文 才能 够 顺利 穿越 MPLS 域 。 同 一 个 FEC 的 报 文通 党 采用 
相同 的 LSP 穿越 MPLS 域 ， 对 于 同一 个 FEC 的 报 文 ，LSR 总 是 使 用 固定 的 标签 来 转发 。 
一 条 LSP 包含 一 台 入 站 LSR、 一 台 出 站 LSR， 以 及 数量 可 变 的 中 转 LSR。 

另外 ，LSP 是 单 问 的 ， 因 此 如 果 一 个 应 用 涉及 到 双 同 的 数据 交互 ， 那 么 便 要 求 在 通 
信 双 方 之 间 建 立 双 同 的 LSP。 图 13-2 展示 了 一 个 关于 LSP 的 例子 ， 从 10.1.1.0/24 网 络 
发 往 10.2.2.0/24 网 络 的 报 文 使 用 如 图 所 示 的 LSP，R7、R8、R9 及 R10 都 必须 维护 关于 
路 由 10.2.2.0/24 的 标签 信息 。 

。 标签 分 发 协议 

在 一 个 流量 能 够 顺利 穿越 MPLS 域 之 前 ， 该 流量 所 对 应 的 FEC 的 LSP 必须 已 经 建 
立 完成 。LSP 的 建立 可 以 通过 两 种 方式 实现 : 静态 及 动态 。 

建立 一 条 LSP 的 最 简单 的 方式 是 采用 手工 配置 的 方式 ， 采 用 这 种 方式 建立 的 LSP 
被 称 为 静态 LSP。 静 态 LSP 的 建立 无 需 使 用 任何 标签 分 发 协议 ， 但 是 网 络 管理 员 需 要 在 
LSP 沿途 的 每 一 台 LSR 上 为 每 一 个 FEC 手工 配置 标签 。 当 然 ， 这 在 小 型 的 MPLS 网 络 
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中 或 许可 行 , 但 是 随 着 MPLS 网 络 规模 越 来 越 大 ， 完 全 通过 手工 配置 的 方式 建立 LSP 显 
然 是 不 切实 际 的 ， 加 上 静态 LSP 无 法 动态 地 适应 网 络 拓扑 变化 ， 因 此 在 实际 的 应 用 中 ， 
我 们 通常 会 借助 一 些 协 议 来 实现 LSP 的 建立 、 维 护 及 标签 分 发 ， 这 就 是 标签 分 发 协议 。 


wippwypomanp Vel ra snestb: AMat ocrWieen He £3 OOS tse Wh cae FoR OOAD IE nt vo EH veo Ee ont team te HPA CTT ET 


LSP 












FTP 网 络 
\ 10.1.1.0/24 / 


图 13-2 LSP 


通过 标签 分 发 协议 建立 的 LSP 被 称 为 动态 LSP。 常 见 的 标签 分 发 协议 有 : LDP(Label 
Distribution Protocol), RSVP (Resource Reservation Protocol) 及 MP-BGP (Multiprotocol 
Border Gateway Protocol)。 本 书 将 会 分 别 介 绍 LDP 及 MP-BGP。 


13.1.3 ” MPLS 标签 


一 个 IP 报 文 进入 MPLS 域 之 前 ， 会 被 入 站 LSR 压 入 MPLS 标签 头 部 (以 下 简称 标 
签 头 部 )， 形 成 一 个 MPLS 标签 报 文 (以 下 简称 标签 报 文 ;， 如 图 13-3 所 示 。 一 个 标签 报 
文 可 以 包含 一 个 标签 头 部 ， 也 可 以 包含 多 个 标签 头 部 。 一 个 标签 头 部 的 长 度 为 固定 的 
32bit， 共 包含 四 个 字段 : 


瑟 Dm DE oD \ 
eo We oe ot A PY i N 
Dl | \ 





PE 塌 文 办 标 


和 全 签 报 文 | 二 层 类 部 | 竹 多 | IP 头 部 | 数据 罗 共 


图 13-3 ”标签 报 文 及 标签 头 部 


。 标签 〈Label): 用 于 存储 标签 值 。 

e EXP: 主要 用 于 CoS (Class of Service )。 

e。 BoS (Bottom of Stack): 也 被 称 为 栈 底 位 ， 如 果 该 字段 的 值 为 1， 则 表示 本 标签 
头 部 为 标签 栈 的 栈 底 ， 这 意味 痢 该 标签 头 部 后 便 是 IP 头 部 ; 如 果 该 字段 值 为 0， 则 表示 
本 标签 头 部 并 非 栈 撒 。 

。TTL (Time To Live): 用 于 防止 当 网 络 中 出 现 环 路 时 ， 标 签 报 文 被 无 限制 转发 。 
该 字段 与 卫 报 文 头 部 中 的 TTL 字段 的 作用 是 非常 类 似 的 。 
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R “EXP” 被 称 为 试验 性 的 字段 (Experimental Field) ， 这 个 字段 的 称 
呼 在 早期 的 MPLS 相关 标准 中 被 定义 ， 并 一 直 被 使 用 ， 正 如 上 文 所 述 ， 该 字段 主要 被 用 
于 CoS， 为 了 避免 歧义 ，RFC5462 重新 定义 了 这 个 字段 的 名 字 ， 将 其 更 名 为 Traffic Class 
( 流 分 类 ) 字段 。 


在 MPLS 中 ， 标 签 栈 指 的 是 标签 头 部 的 有 序 集合 。 一 个 MPLS 标签 报 文 可 以 包含 一 
个 或 多 个 标签 头 部 ， 换 句 话 说， 标签 栈 中 可 以 包含 一 个 或 多 个 标签 头 部 。 当 标签 栈 中 包含 
多 个 标签 头 部 时 ， 这 些 标签 头 部 的 顺序 是 非常 讲究 的 ， 最 靠近 报 文 的 二 层 头 部 的 标签 是 栈 
顶 标签 , 最 靠近 IP 头 部 的 标签 是 栈 底 标签 。 图 13-4 展示 了 携带 三 个 标签 头 部 的 标签 报 文 ， 
其 中 标签 头 部 1 为 栈 项 ， 标 签 头 部 3 为 栈 确 。 标 签 头 部 中 的 “BoS” 字 段 指出 该 标签 头 部 
是 否 处 于 栈 底 位 置 ， 在 本 例 中 ， 标 签 头 部 1 及 标签 头 部 2 的 “BoS” 了 字段 值 均 为 0， 而 标 
签 头 部 3 的 “BoS ”字段 值 则 为 1。 如 此 一 来 , 处 理 该 标签 报 文 的 LSR 在 读 取 值 为 1 的 “BoS” 
字段 后 ， 便 意识 到 这 是 最 后 一 层 标 签 了 ， 在 标签 头 部 后 面 即 卫 头 部 。 


标签 栈 


酚 顶 - 栈 底 





图 13-4 标签 栈 及 BoS 


MPLS 标签 头 部 中 的 “标签 ”字段 的 长 度 为 20bit， 因此 标签 值 的 范围 是 比较 可 观 的 。 
在 华为 数 通 产品 上 ， 标 签 值 的 范围 及 规划 如 表 13-1 所 示 : 


表 13-1 标签 取 值 范围 
标签 值 描述 | : 
被 定义 为 特殊 标签 这 些 标签 值 有 着 特殊 的 用 途 。 例如 标签 值 0 被 定义 为 IPv4 显 式 
0 一 15 空 标签 (IPv4 Explicit NULL Label), 而 标签 值 3 被 定义 为 隐 式 空 标签 (Implicit NULL 


Label)， 关 于 隐 式 空 标签 ， 我 们 将 在 “PHP 机 制 ” 一 节 中 介绍 
16 一 1023 用 于 静态 LSP、 静 态 CR-LSP 
1024 及 以 上 | 用 于 LDP、RSVP-TE、MP-BGP 等 标签 分 发 协议 


13.1.4 ” MPLS 标签 的 基本 操作 类 型 
LSR 对 报 文 执行 的 MPLS 标签 处 理 动 作 主 要 有 以 下 几 种 。 
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e 压 入 (Push) 

压 入 操作 也 被 称 为 插入 (Insert) 操作 ， 指 的 是 一 个 卫 报 文 进入 MPLS 网 络 时 ， 入 
站 LSR 在 报 文 的 二 层 头 部 之 后 、IP 头 部 之 前 压 入 标签 ， 如 图 13-5 (1、2) 所 示 ; 或 者 
LSR 针对 一 个 已 经 存在 标签 头 部 的 标签 报 文 , 在 栈 顶 再 压 入 一 个 新 的 标签 头 部 ， 如 图 13-5 
(3) 所 示 。 

。 置换 (Swap) 

置换 操作 指 的 是 在 MPLS 网 络 中 ，LSR 转发 标签 报 文 时 ， 将 标签 头 部 置换 成 下 游 
LSR 所 分 配 的 标签 ， 如 图 13-5《〈4) 所 示 。 当 标签 报 文 存在 多 层 标 签 时 ， 置 换 操 作 通 第 
只 对 栈 顶 的 标签 进行 ， 如 图 13-5 (5) 所 示 。 

e。 弹出 (Pop) 

弹出 操作 指 的 是 标签 报 文 离开 LSP 时 ， 出 站 LSR 将 标签 报 文 的 栈 顶 标签 移 除 。 如 
果 移 除 栈 顶 标签 后 ， 该 报 文 不 再 存在 其 他 标签 头 部 ， 则 LSR 针对 该 报 文 执行 传统 的 IP 
路 由 操作 ， 如 图 13-5 (7、9) 所 示 ; 弹出 操作 的 男 一 种 情况 是 MPLS 域 中 的 LSR 在 转 
发 标签 报 文 时 ， 将 栈 顶 标签 移 除 后 〈 报 文 还 存在 其 他 标签 头 部 )， 继 续 转 发 给 下 游 LSR， 
如 图 13-5 (6、8) 所 示 。 





MPLS 网 络 ) 





EAI 


em ree 人 err rear 


图 13-5 MPLS 标签 的 基本 操作 类 型 





13.1.5 ”MPLS 转发 


在 理解 MPLS 时 ， 我 们 通常 从 两 个 层面 入 手 : 控制 层面 及 数据 层面 。 下 面 将 通过 一 
个 典型 的 例子 ， 帮 助 大 家 简单 地 理解 一 下 MPLS 转发 过 程 。 在 本 例 中 ， 我 们 使 用 标签 分 
发 协议 构建 LSP。 

(1) 在 图 13-6 所 示 的 网 络 中 ，R1、R2、R3 及 R4 构成 了 一 个 简单 的 MPLS 网 络 。 
一 个 IGP 协议 ， 例 如 OSPF 或 ISIS， 在 该 MPLS 网 络 中 被 部 署 ， 使 得 域内 的 路 由 实现 
互通 。 
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| OSPEF/ISIS | 


| 
IP 网 络 IP 网 络 
10.1.1.0/24 10.2.2.0/24 
RI R2 R3 R4 — 





MPLS 六 


图 1 13-6 构建 一 个 1 简单 的 MPLS S 网 络 





(2) 接 下 来 ， 四 台 路 由 器 都 激活 了 MPLS 标签 交换 功能 ， 成 为 LSR。 然 后 ， 一 个 标 
签 分 发 协议 (例如 LDP) 在 四 台 路 由 器 上 被 部 署 。 标 签 分 发 协议 将 完成 MPLS 控制 层面 
的 工作 一 一 为 FEC 【在 此 处 是 路 由 前 级) 分 配 标签 以 及 动态 地 建立 LSP。 

在 MPLS 染 构 中 ， 在 控制 层面 ，IGP 协议 及 标签 分 发 协议 是 两 个 非常 关键 的 组 件 。 
IGP 协议 的 运行 确保 MPLS 网 络 中 的 LSR 拥有 相应 的 路 由 信息 , 而 标签 分 发 协议 则 针对 
LSR 路 由 表 中 的 路 由 信息 (FEC) 进行 标签 分 配 。 

R4 在 本 地 为 路 由 前 级 10.2.2.0/24 (FEC) 分 配 了 标签 : 1031， 然 后 通过 标签 分 发 协 
议 报 文 将 该 路 由 前 级 与 标签 的 映射 通告 给 R3， 如 图 13-7 所 示 。 


ee a ee 一 一 一 一 一 一 一 一 一 一 一 一 一、 


| 路 由 10.2.2.0/24 路 由 10.2.2.0/24 路 由 10.2.2.0/24 
| 标签 =1025 标签 =1029 标签 =1031 
aa 








图 13-7 标签 分 发 及 标签 映射 通告 


(3) R3 收 到 R4 通告 过 来 的 标签 映射 后 ， 将 该 标签 存储 起 来 ， 接 着 为 该 FEC 分 配 一 
个 标签 : 1029， 并 将 自己 的 标签 映射 通告 给 R2。 

(4) R2 收 到 R3 通告 过 来 的 标签 映射 后 ， Ha 然后 为 该 FEC 分 配 一 
个 标签 : 1025， 再 将 目 己 的 标签 映射 通告 给 R 

如 此 一 来 ， 一 条 关于 10.2.2.0/24 路 由 的 LSP p 就 构建 起 来 了 。 到 目前 为 止 ，MPLS 在 
控制 层面 的 工作 就 已 经 完成 了 。 

(5) 接 下 来 ，10.1.1.0/24 网 段 中 的 某 个 用 户 要 访问 10.2.2.2， 它 所 产生 的 IP 报 文 的 
目的 卫 地 址 为 10.2.2.2, R1 收 到 这 个 IP 报 文 后 , 在 其 FIB 表 中 查询 报 文 的 目的 了 地 址 ， 
并 意识 到 需 对 报 文 执行 标签 压 入 操作 ， 于 是 在 报 文 的 二 层 头 部 之 后 、 卫 头 部 之 前 压 入 一 
个 标签 头 部 ， 而 标签 头 部 中 的 “标签 ”字段 值 为 1025, 也 就 是 下 游 LSR R2 为 10.2.2.0/24 
路 由 所 分 配 的 标签 (此 处 下 游 LSR 指 的 是 在 R1 的 路 由 表 中 10.2.2.0/24 路 由 的 下 一 跳 设 
备 )， 然 后 将 标签 报 文 转发 给 R2， 如 图 13-8 所 示 。 

(6) R2 收 到 该 标签 报 文 后 ， 将 报 文 原 有 的 标签 1025 置换 成 1029 一 一 也 就 是 R3 为 
10.2.2.0/24 路 由 所 分 配 的 标签 ， 然 后 将 报 文 转发 给 R3 
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去 往 10.2.2.2 的 卫 报 文 
图 13-8 ”MPLS 数据 转发 过 程 





1 人 R2 收 到 R1 转发 的 标签 报 文 后 ， 并 不 会 解析 报 文 的 IP 头 部 ， 更 加 不 会 在 其 FIB 
表 中 查询 该 报 文 的 目的 IP 地 址 。R2 能 够 通过 报 文 的 二 层 头 部 中 的 相关 信息 判断 出 该 二 
层 头 部 后 封装 的 是 一 个 MPLS 标签 报 文 , 而 不 是 一 个 IP 报 文 , 因此 它 将 报 文 的 二 层 头 部 
移 除 后 ， 将 会 解析 里 面 的 标签 头 部 ， 并 在 特殊 的 数据 表 中 查询 报 文 所 携带 的 标签 值 ， 然 
后 根据 相关 表 项 的 指引 决定 下 一 步 操 作 。 

在 以 太 网 环境 中 ， 一 个 MPLS 标签 报 文 在 链 路 上 传输 之 前 ， 会 被 增加 以 太 网 帧 头 及 
帧 尾 ， 而 在 帧 头 中 (以 Ethernet I 帧 为 例 )， 类 型 ”字段 用 于 指示 帧 头 后 面 的 载荷 数据 
的 类 型 ， 如 果 “ 类 型 ”字段 的 值 为 0x0800， 则 表示 载荷 数据 为 IPv4 报 文 ， 而 如 果 “ 类 
型 ”字段 的 值 为 0x8847, 则 表示 载荷 数据 为 MPLS 单 播报 文 。 对 于 其 他 类 型 的 二 层 头 部 ， 
例如 PPP (Point-to-Point Protocol， 点 对 点 协议 ) 等 ， 同 样 拥 有 相应 的 字段 用 于 指示 帧 头 
后 面 的 载荷 数据 是 否 为 MPLS 单 播 报 文 ， 如果 是 ,那么 该 字段 的 值 将 被 设置 为 一 个 约定 
的 值 。 

综 上 所 述 , LSR 可 以 通过 报 文 的 二 层 头 部 中 的 相关 信息 判断 出 该 报 文 的 类 型 ， 当 一 台 
LSR 收 到 一 个 卫 报 文 时 ， 会 在 其 FIB 表 中 查询 报 文 的 目的 卫 地 址 ， 并 根据 匹配 的 表 项 进 
行 数 据 转 发 ; 而 当 其 收 到 一 个 标签 报 文 时 ， 则 不 会 在 FIB 表 中 执行 查询 操作 ， 而 是 在 特殊 
的 数据 表 中 获取 相关 信息 用 于 指导 数据 转发 ， 本 节 后 续 的 内 容 中 介绍 了 这 部 分 知识 。 


(7) R3 收 到 该 标签 报 文 后 ， 将 报 文 原 有 的 标签 1029 置换 成 1031 一 一 也 就 是 R4 为 
10.2.2.0/24 路 由 所 分 配 的 标签 ， 然 后 将 报 文 转发 给 R4。 

(8) R4 收 到 该 标签 报 文 后 ， 将 报 文 的 标签 头 部 弹出 ， 得 到 原始 的 IP 报 文 ， 然 后 执 
行 IP 路 由 操作 ， 将 报 文 转发 出 去 。 

以 上 仅仅 给 大 家 笼统 地 介绍 了 一 下 MPLS 转发 过 程 , 实际 的 操作 过 程 要 远 比 这 复杂 。 

在 一 个 MPLS 网 络 中 ， 每 一 台 LSR 都 可 能 维护 着 以 下 的 数据 : 

(1) Tunnel ID (隧道 标识 》 

Tunnel ID 是 一 个 长 度 为 32bit， 且 只 具有 本 地 意义 的 隧道 标识 ， 这 是 设备 为 各 种 隧 
道 所 分 配 的 一 个 ID。 在 MPLS 中 ，Tunnel ID 还 用 于 将 FIB、ILM 及 NHLFE 进行 关联 。 

在 设备 上 查看 FIB 表 项 ， 能 看 到 Tunnel ID， 以 下 呈现 的 是 某 台 设备 关于 路 由 
192.168.20.0/24 的 FIB 表 项 ; 


<Huawei>display fib 192.168.20.0 24 
Route Entry Count: 1 
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Destination/Mask Nexthop Flag TimeStamp Interface TunnelID 
192.168.20.0/24 10.1.2.1 DGU t[4008243] GE0/0/] 0x0 


从 上 述 输 出 可 以 看 到 Huawei 这 台 设 备 的 FIB 表 中 ，192.168.20.0/24 路 由 对 应 的 
Tunnel ID 为 0x0。 
在 设备 的 FIB 表 项 中 ， 一 条 路 由 对 应 的 Tunnel ID 值 存在 两 种 情况 
e 如 果 Tunnel ID 为 0x0， 则 设备 收 到 去 往 该 目的 网 段 的 IP 报 文 时 ， 将 报 文 执行 IP 
路 由 操作 。 
e。 如 果 Tunnel ID 不 为 0x0， 则 设备 将 报 文 执行 MPLS 转发 操作 。 设 备 将 在 NHLFE 
中 查询 该 Tunnel ID 值 ， 从 而 找到 匹配 的 表 项 并 依照 表 项 的 指示 进行 操作 。 
(2) NHLFE (Next Hop Label Forwarding Entry， 下 一 跳 标 签 转 发 表 项 ) 
NHLFE 用 于 指导 MPLS 标签 报 文 转发 。 每 个 NHLFE 都 包含 着 Tunnel ID 、 出 站 接口 、 
下 一 跳 卫 地 址 、 出 站 标签 、 标 签 操 作 类 型 等 信息 ， 表 13-2 展示 了 两 个 NHLFE 的 示例 : 
表 13-2 NHLFE 二 全 
TunnellD | J 此 “| 出 站 标签 | 标签 操作 
0x16 7 Push 
0x21 GE001 | 101122 | 1099 Push 
(3) ILM (Incoming Label Map， 入 标签 映射 ) 
ILM 体现 的 是 入 站 标签 到 NHLFE 的 映射 关系 ，ILM 包含 Tunnel ID、 入 站 标签 、 入 
站 接口 、 标 签 操作 等 信息 ， 表 13-3 展示 了 两 个 ILM 的 示例 : 








表 13-3 ILM 示例 
ee a TO | 
0x33 1071 gr Swap 
0x14 1038 GE0/0/3 Swap 


当 LSR 收 到 一 个 标签 报 文 时 , 会 在 ILM 的 入 站 标签 中 查询 该 报 文 所 携带 的 标签 值 ， 
找到 匹配 的 表 项 后 , 也 就 得 到 了 对 应 的 Tunnel ID, 从 而 根据 Tunnel ID , 在 设备 的 NHLFE 
中 再 次 进行 查询 ， 得 到 下 一 步 操 作 的 信息 ， 例 如 下 一 跳 卫 地 址 及 出 站 标签 等 。 

现在 ， 回 到 本 节 的 例子 ， 再 来 详细 地 探讨 一 下 MPLS 数据 转发 过 程 。 

(1) 当 10.1.1.0/24 网 段 中 的 PC 发 送 数据 给 10.2.2.2 时 ，IP 报 文 首 先 被 发 往 R1。R1 
收 到 报 文 后 ， 从 报 文 的 二 层 头 部 的 “类 型 ”字段 判断 出 《假设 本 例 中 所 有 的 设备 均 使 用 
以 太 网 链 路 互联 )， 载 荷 数据 是 IP 报 文 ， 因 此 接 下 来 R1 在 目 己 的 FIB 表 中 查询 与 报 文 
的 目的 下 地址 10.2.2.2 相 匹 配 的 表 项 ， 根 据 最 长 匹配 原则 ， 找 到 路 由 表 项 10.2.2.0/24， 
并 且 发 现 该 表 项 的 Tunnel ID 为 0x13， 如 图 13-9 所 示 。R1 意识 到 需要 将 报 文 送 入 隧道 ， 
但 是 目前 还 缺乏 足够 的 转发 信息 ， 因 此 它 继 续 在 NHLFE 中 查询 Tunnel ID 0x13， 发 现 的 
确 有 一 个 匹配 该 Tunnel ID 的 表 项 ， 该 表 项 的 出 站 接口 为 GE0/0/1、 下 一 跳 IP 地 址 为 
10.1.12.2、 出 站 标签 为 102$， 而 且 标签 操作 为 Push。 于 是 R1 根据 NHLFE 表 项 的 指示 ， 
在 报 文 的 卫 头 部 之 前 压 入 一 个 标签 头 部 ， 标 签 值 为 1025。 接 者 R1 重新 将 该 报 文 封 装 成 
帧 ， 将 数据 帧 从 GE0/0/1 接口 转发 给 R2。 

R2 收 到 了 R1 转发 过 来 的 标签 报 文 后 ， 它 从 报 文 的 二 层 头 部 的 “类 型 ”字段 判断 出 ， 
载荷 数据 是 MPLS 标签 报 文 ， 因 此 R2 将 不 会 在 FIB 表 中 查询 该 报 文 的 目的 全 地址 ， 而 
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是 根据 报 文 所 携带 的 标签 获取 转发 信息 。R2 将 二 层 帧 头 剥 除 , 读 取 顶层 标签 值 1025( 实 
际 上 ， 目 前 该 报 文 仅 有 一 层 标签 ;， 然 后 在 ILM 中 查询 该 标签 值 ， 结 果 找 到 了 匹配 的 表 
项 , 如 图 13-10 所 示 , 该 表 项 的 Tunnel ID 为 0x19, 日 标签 操作 为 Swap。R2 继续 在 NHLFE 
中 查询 Tunnel ID 0x19 并 找到 了 一 个 匹配 的 表 项 ， 该 表 项 的 出 站 接口 为 GE0O/0/1， 下 一 跳 
IP 地 址 为 10.1.23.3， 出 站 标签 为 1029。 


R1 的 NHLFE 


二 











R1 的 FIB 


目的 网 络 地 址 / 掩 码 | TunnelID 


tenes 


pV IP 网 络 Psy Pr pp MN 
QL 10.1.1.0/24 y 4 - \ 10.2.2.0/24 / 





MPLS 网 络 


去 往 10.2.22 的 IP 报 文 |[ 标 往 
图 13-9 Ri 的 操作 


R2 根据 表 项 的 指示 ， 将 报 文 原 有 的 标签 1025 置换 为 1029， 接 着 重新 将 该 报 文 封装 
成 帧 ， 并 将 数据 帧 从 GE0/0/1 接口 转发 给 R3。 





R2 的 NHLFE 


Swap 


R2 的 ILM 









W 10.1.1.0/24 .1.23.3 局 \ 1022.0/24 J 





MPLS 网 络 


去 往 10.2.2.2 的 IP 报 文 || 标 往 





图 13-10”R2 的 操作 


(2) R3 收 到 了 R2 转发 过 来 的 标签 报 文 后 ， 它 将 帧 头 剥 除 ， 读 取 标 签 值 1029， 然 后 
在 ILM 中 查询 该 标签 值 ， 结 果 找 到 了 匹配 的 表 项 ， 如 图 13-11 所 示 ， 该 表 项 的 Tunnel ID 
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为 0xf，R3 继续 在 NHLFE 中 查询 这 个 Tunnel ID 并 找到 了 一 个 匹配 的 表 项 , 该 表 项 的 出 
站 接口 为 GE0/0/1、 下 一 跳 IP 地 址 为 10.1.34.4、 出 站 标签 为 1031， 且 标签 操作 为 Swap。 
R3 的 NHLFE 


R3 的 ILM 


———— 一 全 和 ?一 一 










一 -一 一 -一 一 -~ 一 
1 
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去 往 10222 的 下 报 文 
图 13-11 R3 的 操作 


R3 根据 表 项 的 指示 ， 将 报 文 原 有 的 标签 1029 置换 为 1031， 然 后 重新 将 该 报 文 封装 
成 帧 ， 将 数据 帧 从 GE0/0/1 接口 转发 给 R4。 

(3) R4 收 到 标签 报 文 后 ， 在 ILM 中 碍 询 报 文 所 携带 的 标签 1031， 如 图 13-12 所 示 ， 
从 匹配 的 表 项 中 ，R4 发 现 对 应 的 标签 操作 为 弹出 ， 于 是 它 将 报 文 的 标签 头 部 弹出 ， 由 于 
当前 报 文 仅 有 一 层 标签 头 部 〈 该 标签 头 部 的 BoS 字段 的 值 为 1)， 因 此 弹出 之 后 ， 得 到 的 
报 文 即 为 原始 的 IP 报 文 ， 接 下 来 ，R4 在 FIB 表 中 查询 该 报 文 的 目的 IP 地 址 10.2.2.2， 
然后 按照 轧 配 的 表 项 进行 转发 (执行 路 由 操作 )。 最 终 报 文 到 达 了 目的 地 。 

R4 的 1LM 


oo | om | Geo | mm 


| 





而 要 





MPLS 网 络 


一 ~ -一 


去 往 10.222 的 IP 报 文 |[ 标 入 
图 13-12” R4 的 操作 





13.1.6 ”案例 : 静态 LSP 的 建立 
经 过 前 面 的 讲解 , 相信 大 家 对 MPLS 已 经 有 了 一 个 基本 的 认 知 。 我 们 知道 , 在 MPLS 
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网 络 中 ， 一 个 流量 要 能 够 被 设备 顺利 地 执行 标签 转发 ， 对 应 FEC 的 LSP 在 流量 开始 发 
送 之 前 就 应 该 建立 完成 。 实 际 上 ，LSP 的 建立 过 程 颇 有 一 点 面 癌 连接 的 〈Connection- 
oriented) 味道 。 

LSP 的 建立 可 以 通过 两 种 方式 实现 ,一 是 采用 手工 配置 的 方式 在 MPLS 网 络 中 建立 ， 
这 种 LSP 被 称 为 静态 LSP。 另 一 种 则 是 通过 标签 分 发 协议 动态 地 建立 ,这 种 LSP 被 称 为 
动态 LSP。 静 态 LSP 的 建立 ， 需 要 网 络 管理 员 在 LSP 沿途 的 所 有 LSR 上 进行 配置 ， 任 
何 一 个 环节 出 现 错误 都 可 能 导致 流量 转发 的 中 断 。 而且 静态 LSP 无 法 根据 拓扑 的 变化 进 
行 自动 调整 ， 当 网 络 拓扑 发 生变 更 时 ， 网 络 管理 员 不 得 不 手工 修改 设备 上 的 配置 。 因 此 
静态 LSP 仅 适 用 于 规模 较 小 并 且 拓 扑 黎 定 的 小 型 网 络 。 

在 图 13-13 中 ，R1、R2、R3 及 R4 构成 了 一 个 简单 的 MPLS 网 络 。 现 在 我 们 要 在 该 
MPLS 网 络 中 建立 两 条 静态 LSP， 使 得 10.1.1.0/24 及 10.2.2.0/24 网 段 的 用 户 能 够 通过 中 
间 的 MPLS 网 络 互 访 (LSP 是 单 向 的 , 为 了 实现 这 两 个 网 段 的 双 同 互 访 , 就 需要 在 MPLS 
网 络 中 创建 两 条 LSP)。 设 备 的 接口 卫 地 址 规划 如 图 13-13 所 示 。 


oo 一 一 ~ 一 一 一 一 人 一 一 -一 一 -一 
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RI1 GEO/ GEO/O/l GEO/O/1 | 
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10.1.12.2/24 “R2 10.1.23.3/24 R3 10.1.34.4/24 
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图 13-13 ”静态 LSP 的 建立 


首先 在 Rl1 及 R4 上 完成 静态 路 由 配置 。 以 R1 为 例 ， 它 必须 拥有 到 达 10.2.2.0/24 网 
段 的 路 由 ， 因 为 它 是 从 10.1.1.0/24 网 段 到 达 10.2.2.0/24 网 段 的 中 报 文 的 入 站 LSR， 在 
其 FIB 表 中 需 存 在 相关 表 项 用 于 指导 数据 转发 。R4 同 理 ， 必 须 拥 有 到 达 10.1.1.0/24 网 段 
的 路 由 。 

在 静态 LSP 中 ， 对 于 某 个 FEC 而 言 ， 所 有 LSR 的 入 站 、 出 站 标签 都 需要 网 络 管理 
员 手 工分 配 。 中 转 LSR〔 如 本 例 中 的 R2 及 R3) 无 需 拥 有 到 达 目 标 网 段 的 路 由 ， 因 为 它 
们 将 会 基于 报 文 所 携 帝 的 标签 进行 转发 操作 。 

R1 的 静态 路 由 配置 如 下 : 

[R1]ip route-static 10,2.2.0 24 10.1.12.2 

R4 的 静态 路 由 配置 如 下 : 

[R4lip route-static 10.1.1.0 24 10.1.34.3 

接 下 来 开始 MPLS 的 配置 。 

在 R1 上 配置 LSR ID 并 激活 MPLS: 


[R1]mpls lsr-id 1.1.1.1 
[Rl1]jmpis 
[RI-mpls]quit 


[Ri1linterface GigabitEthernet 0/0/0 
[R1-GigabitEthernetO/0/0]mpls 
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[Rllinterface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1 jmpls 


在 R2 上 配置 LSR ID 并 激活 MPLS: 
[R2]mpls lsr-id 2.2.2.2 

[R2]mpls 

[R2-mplsjquit 


[R2]jinterface GigabitEthernet 0/0/0 
[R2-GigabitEthernet0/0/0jmpls 

[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]mpls 

在 R3 上 配置 LSR ID 并 激活 MPLS: 
[R3]mpls lsr-id 3.3.3.3 

[R3]mpls 

[R3-mpls]quit 


[R3]interface GigabitEthernet 0/0/0 
[R3-GigabitEthermnet0/0/0]mpis 
[R3]interface GigabitEthernet 0/0/1 
[R3-GigabitEthernet0/0/1]mpls 


在 R4 上 配置 LSR ID 并 激活 MPLS: 
[Rd4jmpls lsr-id 4.4.4.4 

[R4]jmpls 

[R4-mpls]quit 


[R4jinterface GigabitEthernet 0/0/0 
[R4-GigabitEthernet0/0/0]mpls 
[R4jinterface GigabitEthemet 0/0/1 
[R4-GigabitEthernet0/0/1 ]mpls 


在 上 述 配 置 中 ，mpls lsr-id 命令 用 于 设置 设备 的 LSR ID， 在 激活 设备 的 MPLS 功能 
之 前 ， 必 须 为 设备 配置 LSR ID， 出 于 协议 稳定 性 的 考虑 ， 我 们 通常 会 为 设备 创建 一 个 
Loopback 接口 ， 并 使 用 该 接口 的 IP 地 址 作为 设备 的 LSR ID。 在 系统 视图 下 执行 的 mpls 
命令 用 于 全 局 激活 设备 的 MPLS 功能 ， 但 是 全 局 激活 之 后 ， 还 必须 在 需 激 活 MPLS 的 接 
口 的 接口 视图 中 再 执行 mpls 命令 激活 该 接口 的 MPLS 功能 。 完 成 上 述 配 置 后 ， 即 可 在 
设备 上 继续 进行 静态 LSP 的 配置 。 

现在 开始 创建 第 一 条 静态 LSP， 使 得 10.1.1.0/24 网 段 的 用 户 发 往 10.2.2.0/24 网 段 的 
流量 能 够 顺利 地 穿越 MPLS 网 络 到 达 目 的 地 。 在 静态 LSP 中 ， 需 要 提前 规划 LSP 沿途 
的 各 台 设 备 的 入 站 及 出 站 标签 值 。 第 一 条 静态 LSP 的 标签 规划 如 图 13-14 所 示 。 

Rl1 是 该 LSP 的 入 站 LSR， 它 的 配置 如 下 : 

[Rl lstatic-lsp ingress lto2 destination 10.2.2.0 24 nexthop 10.1.12.2 out-label 1002 

在 以 上 配置 中 ，static-lsp ingress 命令 用 于 在 入 站 LSR 上 配置 静态 LSP， 其 中 1to2 
是 该 LSP 的 名 称 〈 该 名 称 可 自 定 义 )，destination 关键 字 用 于 指定 目的 IP 地 址 及 掩 码 ， 
nexthop 关键 字 用 于 指定 下 一 跳 IP 地 址 ， 而 out-label 关键 字 则 用 于 指定 出 站 标签 值 。 值 
得 注意 的 是 ，nexthop 关键 学 所 指定 的 下 一 跳 IP 地 址 必须 与 R1 的 路 由 表 中 10.2.2.0/24 
路 由 的 下 一 跳 IP 地 址 相同 。 , 

R2 是 中 转 LSR， 它 的 配置 如 下 : 


[R21]static-lsp transit 1to2 incoming-interface GigabitEthernet 0/0/0 in-label 1002 nexthop 10.1.23.3 out-label 1003 
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R1 的 入 、 出 站 标签 。 R2 的 入 、 出 站 标签 。 R3 的 入 、 出 站 标签 ” R4 的 入 、 出 站 标签 
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图 13-14 第 一 条 静态 LSP 的 规划 


在 以 上 配置 中 ，static-lsp transit 命令 用 于 在 中 转 LSR 上 配置 静态 LSP, 其 中 incoming- 
interface 天 键 字 用 于 指定 标签 报 文 的 入 站 接口 ，in-label 及 out-label 关键 字 分 别 用 于 指 
定 入 站 及 出 站 标签 。 对 于 本 案例 的 第 一 条 LSP 而 言 ，R1 的 出 站 标签 必须 与 R2 的 入 站 标 
签 相同 ， R2 的 出 站 标签 则 必须 与 R3 的 入 站 标签 相同 ， 以 此 类 推 。 
R3 是 中 转 LSR， 它 的 配置 如 下 : 
[R31]static-lsp transit 1to2 incoming-interface GigabitEthernet 0/0/0 in-label 1003 nexthop 10.1.34.4 out-label 1004 
4 是 出 站 LSR， 它 的 配置 如 下 : 
[R4]static-lsp egress lto2 incoming-interface pr 0/0/0 in-label 1004 
在 以 上 配置 中 ，static-lsp egress 命令 用 于 在 出 站 LSR 上 配置 静态 LSP。 
对 于 静态 LSP 而 言 , 入 站 LSR 中转 LSR 及 出 站 LSR 的 配置 各 有 不 同 , 除 了 static-lsp 
令 中 ，ingress、egress 及 transit 关键 字 的 区 别 ， 还 应 特别 注意 入 站 、 出 站 标签 的 配置 ， 
总 的 来 说 应 该 伟人 御 的 原则 是 : 顺 看 LSP 的 方 同 ， 本 设备 的 出 站 标签 必须 等 于 下 一 跳 设 
备 的 入 站 标签 。 
接着 创建 第 二 条 静态 LSP， 使 得 10.2.2.0/24 网 段 的 用 户 发 往 10.1.1.0/24 网 段 的 流量 
能 够 顺利 到 达 目 的 地 。 该 条 LSP 的 规划 如 图 13-15 所 示 。 


R1 的 入 、 出 站 标签 R2 的 入 、 出 站 标签 ”R3 的 入 、 出 站 标签 ”R4 的 入 、 出 站 标签 
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图 13-15 第 二 条 静态 LSP 的 规划 


R4 是 该 LSP 的 入 站 LSR， 它 的 配置 如 下 : 
[R4]static-lsp ingress 2tol destination 10.1.1.0 24 nexthop 10.1.34.3 out-label 1013 
是 中 转 LSR， 它 的 配置 如 下 : 
[R3]static-lsp transit 2tol ncoming-interface GigabitEthernet 0/0/1 in-label 1013 nexthop 10.1,23,2 out-label 1012 
R2 是 中 转 LSR， 它 的 配置 如 下 : 


[R21]static-lsp transit 2tol incoming-interface GigabitEthernet 0/0/1 in-label 1012 nexthop 10.1.12.1 out-label 1011 
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Rl1 是 出 站 LSR， 它 的 配置 如 下 : 

[Rl lstatic-lsp egress 2tol incoming-interface GigabitEthernet 0/0/] in-label 1011 

接 下 来 验证 一 下 上 述 配 置 , 使 用 display mpls static-lsp 命令 可 查看 静态 LSP 的 相关 
信息 ， 例 如 在 R1 上 执行 该 命令 可 看 到 如 下 输出 : 


<Rl>display mpls static-lsp 


TOTAL 2 STATIC LSP(S) 

UP 2 STATIC LSP(S) 

DOWN 0 STATIC LSP(S) 

Name 了 EC IO Label IO If Status 
1to2 10.2.2.0/24 NULL/1002 -/GEO/0/1 Up 
2tol -/- 1011/NULL GE0/0/1/- Up 
从 上 述 输出 可 以 看 出 ，RI1 上 存在 两 条 状态 为 Up 的 LSP。 
再 去 中 转 LSR R2 上 看 看 : 

<R2>display mpls static-lsp 

TOTAL : 2 STATIC LSP(S) 

UP ; 2 STATIC LSP(S) 

DOWN - 0 STATIC LSP(S) 

Name FEC LO Label LOIf Status 
lto2 < -/- 1002/1003 GEO/0/0/GEO0/0/1 Up 之 
2tol -/- 1012/1011 GEO/0/1/GE0/0/0 Up 
R3 的 静态 LSP 信息 如 下 : 

<R3>display mpls gr 

TOTAL - 2 STATIC LSP(S) 

UP : 2 STATIC LSP(S) 

DOWN 0 STATIC LSP(S) 

Name FEC IO Label IO If Status 
lto2 -/- 1003/1004 GEOQ/0/0/GE0/0/1 Up 
2tol -/- 1013/1012 GEO/0/1/GE0/0/0 Up 
R4 的 静态 LSP 信息 如 下 : 

<R4>display mpls statie-lsp 

TOTAL 2 STATIC LSP(S) 

UP ps STATIC LSP(S) 

DOWN Wi 0 STATIC LSP(S) 

Name FEC IO Label VO If Status 
lto2 -/- 1004/NULL GE0/0/0/- Up 
2tol 10.1.1.0724 NULL/1013 -/GE0/0/0 Up 


此 时 ，10.1.1.0/24 与 10.2.2.0/24 网 段 的 用 户 互 访 流量 即 可 通过 MPLS 网 络 进行 标签 
转发 。 当 用 户 10.1.1.1 对 10.2.2.2 执行 ping 操作 时 ， 如 果 在 R2 与 R3 之 间 进 行 抓 包 ， 则 
可 以 捕获 携带 着 标签 头 部 的 ICMP 报 文 ， 以 10.1.1.1 发 往 10.2.2.2 的 ICMP Request 报 文 
为 例 ， 如 图 13-16 所 示 ， 在 图 中 能 观察 到 报 文 的 MPLS 标签 头 部 ， 其 标签 值 (Label) 为 
1003。 


d6:09:e8 (00:e0:fc:d6:09:e8) 






Internet Conrral Ce PotSCD1 
Type: 8 {Echo (ping) request) 
Code: 

Checksum: Ox7594 [correct] 

Identifier: 0xl0e8 

Sequence number: 2 (0x0002) 

Sequence number (LE): Si2 (Ox0200) 
a Data (32 bytes) 


图 13-16 ”10.1.1.1 发 往 10.2.2.2 的 ICMP Request 报 文 (在 R2 及 R3 之 间 被 捕获 的 报 文 ) 
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i132 LDP 


对 于 一 个 小 型 的 MPLS 网 络 而 言 ， 采 用 静态 LSP 的 方式 或 许可 以 满足 需求 ， 然 而 ， 
静态 LSP 虽然 配置 简单 ， 但 无 法 根据 拓扑 的 变化 进行 自动 调整 ， 再 者 ，MPLS 网 络 的 规 
模 往 往 比 较 大 ， 采 用 手工 配置 的 方式 为 每 个 FEC 建立 静态 LSP 显然 不 太 现 实 。 标 签 分 
发 协议 可 以 提供 一 个 更 佳 的 解决 方案 。 本 节 将 为 大 家 介绍 一 个 被 广泛 应 用 的 标签 分 发 协 
议 : LDP (Label Distribution Protocol， 标 签 分 发 协议 )。 

LDP 被 视 为 MPLS 体系 中 最 重要 的 协议 之 一 , 在 各 种 类 型 的 MPLS 网 络 中 被 广泛 部 
署 。 作 为 一 个 MPLS 体系 中 控制 层面 的 关键 协议 ，LDP 能 够 为 FEC 分 配 标 签 ， 而 运行 
LDP 的 LSR 也 能 够 通过 LDP 的 协议 报 文 交换 FEC 与 标签 的 映射 ,最 终 完 成 LSP 的 建立 。 

两 台 互 相 建 立 LDP 会 话 并 通过 LDP 交互 FEC 与 标签 映射 信息 的 LSR, 被 称 为 LDP 
对 等 体 。 运 行 了 LDP 的 LSR 之 间 必 须 先 建立 对 等 体 关 系 ， 然 后 才能 交互 标签 映射 。 

LDP 是 公有 标准 ， 最 初 在 RFC3036 (LDP Specification) 中 被 定义 ， 该 版 本 的 REFC 
己 经 被 废弃 不 用 ， 目 前 普遍 被 行业 遵循 的 LDP 标准 是 RFC5036 (LDP Specification ) 。 

学 习 完 本 节 之 后 ， 我 们 应 该 能 够 : 

。 理解 LDP 协议 的 基本 工作 机 制 |; 

。 理解 LSR ID、LDP ID 的 概念 ; 

。 熟悉 LDP 对 等 体 关 系 建立 过 程 ; 

。 理解 LDP 传输 地 址 的 概念 ; 

e 理解 PHP 机 人 制 | 

e 掌握 MPLS 及 LDP 的 基础 配置 ; 

。 掌握 利用 MPLS 解决 BGP 路 由 黑洞 的 方法 。 


13.2.1 LDP 的 基本 工作 机 制 | 


图 13-17 展示 了 一 个 典型 的 MPLS 网 络 示 例 。 首 先 一 个 IGP 协议 (例如 OSPF 或 IS-IS 
等 ) 在 MPLS 网 络 中 被 部 署 ， 通 过 该 IGP 协议 ，MPLS 网 络 内 可 实现 路 由 互通 。 


DP 对 等 体 


-ss = 


LDP 对 等 体 


ns 人 


| LDP 对 等 体 


EETETETEEE ee 









| MPLS 网 络 














图 13-17 MPLS 网 络 中 的 设备 激活 MPLS 及 LDP 后 ， 直 连 的 设备 之 间 形 成 LDP 对 等 体 关 系 


以 4.4.4.4/32 路 由 为 例 ， 依 赖 MPLS 网 络 内 部 运行 的 IGP 协议 ，R1、R2 及 R3 都 能 
够 学 习 到 该 路 由 。 接 下 来 ，MPLS 网 络 中 的 路 由 器 将 激活 MPLS 及 LDP 功能 。 之 后 这 些 
路 由 器 将 成 为 LSR，LDP 对 等 体 关 系 将 在 直 连 的 LSR 之 间 形 成 。LDP 会 自动 地 为 设备 
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的 路 由 表 中 的 路 由 前 级 (FEC) 分 配 标签 ， 如 图 13-18 所 示 ，R4 激活 LDP 后 ，LDP 


为 本 地 直 连 路 由 4.4.4.4/32 分 配 了 标签 : 1061， 接 下 来 ，LDP 的 另 一 个 非常 重要 的 功 
能 标签 映射 通告 将 会 登场 。R4 通过 LDP 协议 报 文 ， 将 4.4.4.4/32 路 由 及 标签 1061 


的 映射 通告 给 LDP 对 等 体 R3。 
我 为 4.4.4.4/32 路 由 
分 配 标签 1061 











R3 
MPLS 网 络 填 4 斗 二 /32 


A 


| 标签 映射 
| FEC 4.4.4.4/32 
标签 : 1061 


图 13-18 LDP 为 FEC 分 配 标签 ， 并 日 将 FEC 与 标签 的 映射 通告 给 其 他 LDP 对 等 体 


R3 收 到 R4 通告 的 关于 4.4.4.4/32 路 由 的 标签 映射 后 ， 将 该 标签 映射 存储 起 来 ， 然 
后 它 为 该 路 由 分 配 自 己 的 标签 : 1082， 并 日 通过 LDP 协议 报 文 将 自己 为 4.4.4.4/32 路 由 
所 分 配 的 标签 通告 给 LDP 对 等 体 R2。 同 理 ，R2 收 到 R3 通告 的 关于 4.4.4.4/32 路 由 的 标 
签 映 射 后 ， 将 该 标签 映射 存储 起 来 ， 然 后 在 本 地 为 4.4.4.4/32 路 由 分 配 标签 : 1025， 并 
加 Rl 通告 自己 为 该 路 由 所 分 配 的 标签 ， 如 图 13-19 所 示 。 


我 为 444.4/32 路 由 
分 本 标签 1082 


MPLS 网 络 WN". 


——3 2 


| 我 为 4.4.4.4/32 路 由 我 为 44.4.4/32 路 由 ‘ 我 为 44.4.4/32 路 由 
分 配 标签 1079 分 配 标签 1025 分 配 标签 1061 





| 
| 


标签 映射 标签 映射 ” - 标签 映射 
FEC 4.4.4.4/32 FEC 4.4.4.4/32 FEC 4.4.4.4/32 
标签: 1025 标签 : 1082 标签 : 1061 


图 13-19 LSP 的 建立 过 程 


每 台 LSR 所 运行 的 LDP 都 会 为 路 由 4.4.4.4/32 独立 分 配 自 己 的 标签 值 , 并 将 自己 为 
该 路 由 分 配 的 标签 通告 给 其 他 LDP 对 等 体 。 每 台 路 由 器 都 将 LDP 对 等 体 所 通告 的 标签 
映射 存储 起 来 ， 如 此 一 来 ， 一 条 关于 4.4.4.4/32 路 由 的 LSP 也 就 建立 完成 了 。 当 LSR 转 
发 到 达 4.4.4.4/32 的 标签 报 文 时 ， 在 转发 出 去 的 报 文中 所 设置 的 标签 总 是 下 一 跳 LDP 对 
等 体 ( 也 就 是 下 游 邻 居 LSR) 为 该 FEC 所 通告 的 标签 。 

在 一 条 LSP 上 , 沿 着 标签 报 文 转发 的 方 同 ， 一 台 设 备 被 视 为 下 一 跳 设备 的 上 游 ， 相 
对 的 ， 下 一 跳 设备 被 视 为 本 设备 的 下 游 。 在 本 例 中 ， 对 于 FEC 4.4.4.4/32 而 言 ，R4 是 R3 
的 下 游 LSR 邻居 ，R3 是 R2 的 下 游 LSR 邻居 。 相 对 的 ，R3 是 R4 的 上 游 LSR 邻居 ，R2 
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是 R3 的 上 游 LSR 邻居 。 






1 在 华为 路 由 器 上 运行 LDP 时 , 如 果 运行 了 LDP 的 LSR 是 某 个 FEC 的 出 站 LSR， 
那么 它 可 以 主动 为 该 FEC 分 配 标签 ; 如 果 该 LSR 不 是 某 个 FEC 的 出 站 LSR， 则 它 必 须 
等 待 收 到 下 游 邻 居 LSR 通告 的 关于 该 FEC 的 标签 映射 之 后 ， 才 能 触发 自己 为 该 FEC 分 
配 标 签 ， 而 有 全， 此 时 要 求 该 LSR 必须 已 经 学 习 到 关于 FEC 的 路 由 ( 且 上 述 提 及 的 下 游 
邻居 LSR 是 该 路 由 表 项 的 下 一 跳 设 备 )。 

在 本 例 中 ，R4 是 4.4.4.4/32 路 由 的 出 站 LSR， 因 此 它 可 以 主动 为 该 路 由 分 配 标签 ， 
而 R3 只 有 在 收 到 路 由 4.4.4.4/32 的 下 一 跳 LSR R4 通告 过 来 的 、 关 于 该 路 由 的 标签 映射 
之 后 ， 才 能 触发 自己 为 该 路 由 分 配 标签 。 值 得 注意 的 是 ， 如 果 此 时 IGP 协议 配置 出 现 问 
题 ， 导 致 R3 没有 学 习 到 4.4.4.4/32 路 由 ， 或 者 4.4.4.4/32 路 由 的 下 一 跳 不 是 R4， 而 是 一 
台 没有 运行 LDP 的 设备 , 那么 即使 R4 将 该 路 由 的 标签 映射 通告 给 了 R3, 后 者 也 无 法 为 
该 路 由 分 配 标 签 。 可 见 IGP 协议 对 于 LDP 的 标签 分 发 是 多 人 么 重要 。 

此 外 ， 在 华为 路 由 器 上 运行 LDP 时 ， 运行 了 LDP 的 LSR 为 FEC 分 配 了 标签 之 后 ， 
会 将 标签 映射 通告 给 所 有 邻居 LSR， 而 无 需 等 待 邻 居 LSR 发 起 请 求 。 在 本 例 中 ，R4 为 
4.4.4.4/32 路 由 分 配 了 标签 后 ， 可 以 主动 将 标签 映射 通告 给 LSR 邻居 R3， 而 不 用 等 待 R3 
发 起 请 求 。 再 以 R2 为 例 ， 当 它 收 到 下 游 邻 居 LSR R3 通告 的 关于 4.4.4.4/32 路 由 的 标签 
映射 后 ,， 便 立即 为 该 路 由 分 配 自 己 的 标签 ， 并 将 标签 映射 通告 给 所 有 LSR 邻居 ， 其 中 包 
括 R2 及 R3 一 一 虽然 ， 这 个 标签 映射 对 于 R3 而 言 并 没有 实际 意义 。 

对 于 一 台 LSR， 关 于 某 个 FEC， 它 很 有 可 能 从 多 个 LDP 对 等 体 都 收 到 标签 映射 ， 
缺 省 时 ， 该 LSR 将 把 这 些 LDP 对 等 体 所 通告 的 标签 映射 都 存储 起 来 ， 但 是 它 只 会 使 用 
其 中 一 个 LDP 对 等 体 所 通告 的 标签 进行 数据 转发 。LSR 通过 查询 自己 的 路 由 表 来 获得 该 
FEC 对 应 的 路 由 条 目的 下 一 跳 ， 而 它 所 使 用 的 出 站 标签 则 是 这 个 下 一 跳 LSR (下 游 邻 拓 
LSR) 所 通告 的 标签 。 


13.2.2 LDPID 


每 一 台 运 行 了 MPLS 的 LSR 必须 拥有 一 个 域内 唯一 的 LSR ID (Label Switch Router 
Identification， 标 签 交 换 路 由 需 标 识 待 )， 在 华为 路 由 器 上 激活 MPLS 之 前 ， 必 须 为 设备 
指定 LSR ID (在 系统 视图 下 使 用 mpls lsr-id 命令 为 设备 指定 LSR ID), 否则 MPLS 无 法 
顺利 激活 。LSR ID 的 长 度 为 32bit,， 与 IPv4 地 址 的 格式 相同 , 例如 1.1.1.1。 通 常情 况 下 ， 
我 们 会 使 用 设备 的 某 个 Loopback 接口 地 址 作为 该 设备 的 LSR ID。 

每 一 人 台 运 行 了 LDP 的 LSR 必须 拥有 LDP ID (Label Distribution Protocol Identification ， 
标签 分 发 协议 标识 符 )，LDP ID 的 长 度 为 48bit， 该 标识 符 由 32bit 的 LSR ID， 以 及 
16bit 的 Label Space ID (标签 空间 标识 符 ) 构成 。LDP ID 以 “LSR ID:Label Space ID ” 
的 格式 表示 ， 以 “1.1.1.1:0” 为 例 ， 其 中 “1.1.1.1” 为 设备 的 LSR ID， 而 “0” 为 该 设备 
的 Label Space ID。 

Label Space ID 通 第 以 两 种 形态 呈现 : 0 或 非 0。 其 中 0 表示 基于 设备 (或 基于 平台 ) 
的 标签 空间 ， 而 非 0 则 表示 基于 接口 的 标签 空间 。 关 于 Label Space ID 的 描述 超出 了 本 
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书 的 范围 ,在 本 书 的 所 有 小 节 中 ，LSR 均 使 用 基于 设备 的 标签 空间 ， 因 此 Label Space ID 
均 为 0。 


13.2.3 ”LDP 会 话 建立 过 程 


LDP 对 等 体 之 间 需 首先 建立 LDP 会 话 ， 然 后 才能 互相 通告 标签 映射 。 本 市 将 介绍 
LDP 对 等 体 之 间 的 会 话 建立 过 程 。 

1. LDP 设备 发 现 

LDP 对 等 体 之 间 的 会 话 存 在 两 种 类 型 ， 一 种 是 本 地 LDP 会 话 (Local LDP Session )， 
男 一 种 则 是 远程 LDP 会 话 (Remote LDP Session)。 

本 地 LDP 会 话 指 的 是 直 连 的 LDP 设备 之 间 所 建立 的 LDP 会 话 ， 建 立 该 种 会 话 的 
LDP 设备 必须 直 连 ,设备 采用 组 播 的 Hello 报 文 发 现 直 连 链 路 上 的 其 他 LDP 对 等 体 。 对 
于 本 地 LDP 会 话 ， 在 配置 LDP 设备 时 ， 无 需 手 工 指定 LDP 对 等 体 的 IP 地 址 。 而 对 于 
远程 LDP 会 话 ， 则 不 要 求 建立 会 话 的 LDP 设备 之 间 必 须 直 连 ， 在 配置 LDP 设备 时 ， 必 
须 手 工 指定 对 等 体 的 卫 地 址 。 本 节 将 围绕 本 地 LDP 会 话 展开 介绍 。 

当 设 备 的 接口 激活 LDP 后 ,接口 便 开 始 发 送 Hello 报 文 。LDP 的 Hello 报 文 采用 UDP 
封装 ， 源 UDP 端口 号 及 目的 UDP 端口 号 均 是 646， 另 外 ，Hello 报 文 采用 组 播 的 方式 发 
送 ， 目 的 全 地 址 为 224.0.0.2。 


. 有 及 UDP 端口 号 646 均 被 IANA 指定 为 LDP 协议 专用 的 端口 号 。 


在 图 13-20 中 ，R1 及 R2 的 GE0/0/1 接口 激活 LDP 后 ， 两 台 设 备 便 各 自在 接口 上 周 
期 性 地 发 送 LDP Hello 报 文 。 以 RI1 为 例 ， 当 其 GE0/0/1 接口 激活 LDP 后 ， 该 接口 便 开 
始 周 期 性 地 发 送 Hello 报 文 , R1 在 其 发 送 的 Hello 报 文中 携带 自己 的 LDP ID 以 及 传输 地 
址 (Transport Address) 等 信息 ， 其 中 传输 地 址 将 在 后 续 用 于 LDP 会 话 建立 。 


LSR ID 1.1.1.1 LSR ID 2.2.2.2 
传输 地 址 1.1.1.1 传输 地 址 2.2.2.2 
R1 GEO/0/l GEO/0/1  R2 
@3 10.1.12.1 10.1.12.2 G3 


”| 源 了 P=10.1\12.1 


TL 1 TOA 
;| 传输 地 址 =1.1.1.1 







源 IP=10.1.122 


LDPID=2222:0 
传输 地 址 =2.2.2.2 


图 13-20 LDP 设备 发 现 
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R2 在 自己 的 GE0/0/1 接口 上 收 到 R1 发 送 的 Hello 报 文 后 ， 它 便 在 该 接口 上 发 现 了 
LDP 对 等 体 R1, 并 且 通 过 该 报 文 知 晓 了 RI 的 传输 地 址 。 在 设备 上 使 用 display mpls ldp 
peer 命令 可 查看 该 设备 发 现 的 LDP 对 等 体 。 

以 R2 为 例 : 

<R2>display mpls ldp peer 

LDP Peer Information in Public network 


A *' before a peer means the peer ls being deleted. 


一 一 一 一 一 一 一 -一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 :一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 


TOTAL: 1 Peer(s) Found. 

缺 省 情况 下 ，LDP 设备 采用 其 LSR ID 作为 传输 地 址 ， 它 在 目 己 发 送 的 Hello 报 文 
中 ， 将 传输 地 址 告知 对 方 。 在 接口 视图 下 ， 使 用 mpls ldp transport-address 命令 ， 可 以 
修改 该 接口 用 于 建立 LDP 会 话 的 传输 地 址 ， 例 如 执行 mpls ldp transport-address 
loopback 2 命令 ， 则 该 接口 将 使 用 本 设备 的 Loopback2 接口 的 卫 地 址 作为 传输 地 址 。 

2，、LDP 会 话 建立 

Rl1 及 R2 使 用 Hello 报 文 发 现 彼此 后 , 接 下 来 将 进入 设备 之 间 LDP 会 话 的 建立 过 程 。 

在 上 一 个 阶段 中 ，LDP 对 等 体 之 间 所 交互 的 Hello 报 文 使 双方 都 知晓 了 对 方 的 传输 
地 址 ， 接 下 来 ， 双 方 将 基于 该 传输 地 址 建立 TCP 会 话 ， 如 图 13-21 所 示 。 传 输 地 址 大 的 
一 方 发 起 TCP 连接 建立 请 求 ， 在 本 例 中 ，R2 的 传输 地 址 更 大 ， 因 此 TCP 连接 建立 请 求 


LSR ID 1.1.1.1 LSR ID 2.2.2.2 
传输 地 址 1.1.1.1 传输 地 址 2.2.2.2 
R1 GEO/0/l GEO/0/!  R2 
E23”— 101 12.2 3 
主动 发 起 TCP 连接 建立 请 求 : 

源 IP=-2220， 






目的 IP=1.1.1.1 
源 TCP 端 =49294 | 
目的 TCP 端口 =646 | 
Plag“SYN 












源 IP=1.1.1.1 
目的 IP=2.2.2.2 
源 TCP 端口 =646 
.| 目的 TCP 端口 =49294 

Flae=SYN, ACK 



















源 训 2222 | 
目的 IP=1.1.1.1 
源 TCP 端口 =49294 | 
目的 TCP 端口 =646 | - 
Flag=ACK 





图 13-21 基于 传输 地 址 建立 TCP 连接 
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R2 发 送 的 TCP 报 文 的 目的 下 地 址 是 Rl 的 传输 地 址 1.1.1.1, 目的 TCP 端口 号 是 646， 
源 IP 地 址 是 它 目 己 的 传输 地 址 2.2.2.2， 源 端口 号 随机 。 值 得 注意 的 是 ， 为 了 保证 LDP 
对 等 体 之 间 能 够 顺利 地 基于 传输 地 址 建立 TCP 会 话 ， 需 确保 LDP 对 等 体 双方 均 拥 有 到 
达 对 方 传输 地 址 的 路 由 。 也 就 是 说 ，R1 必须 能 够 在 自己 的 路 由 表 中 查询 到 去 往 2.2.2.2 
的 路 由 ， 而 R2 则 必须 能 够 在 目 己 的 路 由 表 中 查询 到 去 往 1.1.1.1 的 路 由 。 


一 
ei 






在 典型 的 MPLS 网 络 中 ， 我们 往往 会 在 每 台 LSR 上 创建 一 个 Loopback 接口 ， 并 
为 该 接口 配置 一 个 掩 码 长 度 为 32 的 卫 地址， 然后 将 该 IP 地 址 指定 为 设备 的 LSR ID。 
缺 省 情况 下 ， 这 个 Loopback 接口 的 IP 地址 也 将 被 指定 为 该 设备 的 LDP 传输 地 址 。 通 常 
情况 下 , 在 MPLS 网 络 中 往往 会 率先 部 署 一 个 IGP 协议 , 例如 OSPF 或 IS-IS 等 , 该 IGP 
协议 一 方面 用 于 实现 MPLS 网 络 内 部 的 路 由 互通 , 田 一 方面 也 为 LDP 的 标签 分 发 做 准备 ， 
因为 LDP 在 LSR 上 被 激活 后 ， 它 只 会 为 该 路 由 表 中 的 存在 的 路 由 条 目 分 配 标 签 ， 因 此 
LDP 的 正常 工作 往往 与 网 络 中 路 由 息息相关 。 此 外 ， 该 IGP 协议 还 可 用 于 保证 LDP 对 
等 体 关 系 的 正确 建立 ， 每 台 LSR 上 所 创建 的 上 述 Loopback 接口 的 路 由 将 会 被 发 布 到 该 
IGP 协议 中 , 从 而 使 得 LDP 对 等 体能 够 通过 该 IGP 协议 获知 到 达 其 他 对 等 体 的 传输 地 址 
的 路 由 。 


完成 邻居 发 现 及 TCP 三 次 握手 之 后 ， 拥 有 更 大 传输 地 址 的 R2 将 主动 发 送 一 个 
Imitialization〈 初 始 化 ) 报 文 给 R1， 该 报 文 中 包含 R2 的 一 些 协议 参数 ， 例 如 LDP 协议 
版 本 号 、 保 活 时 间 、 标 签 通 告 方式 、LSR ID 及 标签 空间 等 。R1 收 到 这 个 报 文 后 ， 会 对 
其 中 的 参数 进行 检查 ， 如 果 对 这 些 参数 表示 认可 ， 则 立即 发 送 自 己 的 Initialization 报 文 ， 
同时 回 送 一 个 Keepalive 报 文 给 R2 以 作 确 认 。 

R2 收 到 对 方 发 送 过 来 的 Initialization 和 Keepalive 报 文 后 , 知道 Rl1 认可 了 自己 的 参 
数 , 于 是 它 也 会 对 R1 发 送 过 来 的 Initialization 报 文中 所 携带 的 参数 进行 检查 , 如 果 认 可 ， 
则 回 送 一 个 Keepalive 报 文 给 R1 以 作 确 认 ， 如 图 13-22 所 示 。 

此 时 Rl1 及 R2 都 将 LDP 会 话 置 为 Operational 状态 (表示 LDP 会 话 建立 成 功 )。 到 
目前 为 止 ，R1 与 R2 的 LDP 对 等 体 关 系 已 经 建立 起 来 了 。 

在 设备 上 使 用 display mpls ldp session 命令 可 以 查看 LDP 对 等 体 之 间 的 会 话 状 态 。 

以 R2 为 例 : 

<R2>display mpls ldp session 

LDP Session(s) in Public Network 

Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM) 


A'*'before a session means the session is being deleted. 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 -一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 -一 一 一 一 一 


TOTAL: 1 session(s) Found. 
在 display mpls ldp session 命令 中 增加 verbose 关键 字 ， 可 以 查看 LDP 会 话 建立 情 
况 及 详细 信息 。 
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LSR ID 1.1.1.1 LSR ID 2.2.2.2 
传输 地 址 1.1.1.1 传输 地 址 2.2.2.2 
R1 GEOO/1 GEO/O/1  R2 


GS”—— 10.1.12.2 < 


Initialization 报 文 载荷 I 





| wy Wa 
: 0 目 
a nT 


: nitialization 报 文 载荷 
Keepalive 报 文 载荷 








人 
[ny ,x 
目 


eepalive 报 文 载荷 


图 13-22” LDP 会 话 建立 过 程 






3， 通告 标签 映射 

LDP 对 等 体 关 系 建立 完成 后 ， 双 方 即 可 开始 使 用 Label Mapping〈 标 签 映 射 ) 报 文 
相互 通告 标签 映射 ， 如 图 13-23 所 示 。 在 LDP 标签 映射 报 文 中 ， 就 包含 着 FEC (路 由 前 
级 ) 以 及 该 LSR 为 这 个 FEC 所 分 配 的 标签 值 。 


LSR ID 1.1.1.1 LSR ID 2.2.2.2 
传输 地 址 1.1.1.1 传输 地 址 2.2.2.2 
R1 GEO/0/l GEO0/0/1  R2 


G3 10.1.12.1 一 


端 


Label Mapping : 
报 文 载荷 : 








Label Mapping 
”| 报 文 载荷 


图 13-23 ”标签 映射 通告 
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13.2.4 PHP 机 制 


在 图 13-24 中 ，R1、R2 及 R3 均 是 LSR， 其 中 R3 直 连 着 3.3.3.0/24 网 段 。 这 三 台 路 
由 天 激 活 LDP 后 ，R3 首先 在 本 地 为 直 连 路 由 3.3.3.0/24 分 配 了 标签 1027， 它 是 该 FEC 
的 出 站 LSR， 接 下 来 它 将 自己 为 路 由 3.3.3.0/24 所 捆绑 的 标签 1027 通告 给 了 上 游 LSR 邻 
届 R2。R2 收 到 R3 通告 的 关于 3.3.3.0/24 路 由 的 标签 映射 后 ， 自 己 在 本 地 为 该 条 路 由 分 
配 了 标签 1025， 并 且 将 标签 映射 通告 给 R1。 

当 Rl 转发 到 达 3.3.3.0/24 的 报 文 时 (以 发 往 3.3.3.3 的 报 文 为 例 )， 它 通过 查询 自己 
的 FIB 表 及 NHLFE 表 项 后 ， 将 报 文 压 入 标签 头 部 ， 其 中 标签 值 为 1025， 然 后 将 标签 报 
文 转发 给 R2。R2 收 到 标签 报 文 后 ， 根 据 本 地 相关 表 项 的 指示 ， 将 报 文 原 有 的 标签 1025 
置换 成 1027， 然 后 将 标签 报 文 转发 给 R3。R3 收 到 该 标签 报 文 时 ， 首 先 在 ILM 表 中 查询 
入 站 标签 值 1027， 找 到 匹配 表 项 后 ， 它 发 现 该 表 项 的 Tunnel ID 为 0x0、 标 签 操 作为 弹 
出 ， 于 是 它 将 标签 报 文 的 标签 头 部 弹出 ， 通 过 读 取 该 标签 头 部 的 BoS 字段 ，R3 意识 到 
该 标签 头 部 已 经 是 栈 底 ， 这 意味 看 将 它 弹 出 之 后 ， 将 得 到 IP 报 文 ， 于 是 R3 开始 读 取 IP 
报 文 头 部 中 的 目的 卫 地 址 ， 并 在 FIB 表 中 查询 该 目的 卫 地址 。 最 终 ，R3 将 在 FIB 表 中 
查询 到 匹配 的 表 项 ， 并 将 IP 报 文 路 由 到 位 于 直 连 网 段 中 的 目的 设备 。 


ee 


| MPLS 网 络 


标签 映射 
| FEC 3.3.3.0/24 FEC 3.3.3.0/24 
标签 : 1025 标签 : 1027 
二 一 一 





R3 收 到 R2 转发 的 标签 
报 文 后 执行 两 次 查询 操作 


R3 的 FIB 表 
3.3.3.0/24 Tunnel ID=0x00 


图 13-24 ” R3 收 到 标签 报 文 后 需 执 行 多 次 查询 操作 


在 这 个 场景 中 ，R3 做 为 出 站 LSR〔 最 后 一 跳 设 备 )， 实 际 上 也 是 直 连 目的 网 段 的 设 
备 ,在 其 路 由 表 中 势必 维护 着 到 达 目 的 网 段 的 路 由 , 当 其 收 到 R2 转发 过 来 的 、 去 往 3.3.3.3 
的 标签 报 文 时 ， 它 需要 针对 该 报 文 先 执行 标签 操作 ， 明 确 了 对 该 报 文采 取 的 动作 后 ， 将 
报 文 的 标签 头 部 移 除 ， 再 对 里 面 所 封装 的 IP 报 文 执行 路 由 操作 ， 在 这 个 过 程 中 ，R3 需 
先 人 查询 ILM 表 项 ， 再 查询 FIB 表 。 此 处 其 实 存在 可 优化 的 地 方 一 一 为 什么 位 于 上 游 的 
LSR 邻居 R2 不 直接 将 报 文 的 标签 头 部 移 除 ， 只 将 里 面 封装 的 IP 报 文 转发 给 最 后 一 跳 路 
由 右 R3 呢 ? 设想 一 下 ， 如 果 R2 转发 标签 报 文 时 ， 将 到 达 3.3.3.3 的 标签 报 文 的 标签 头 
部 率先 移 除 ， 将 里 面 所 封装 的 IP 报 文 转发 给 R3， 那么 R3 收 到 这 个 报 文 之 后 ， 仅 需 做 一 
次 查询 操作 ， 即 在 FIB 表 中 查询 报 文 的 目的 卫 地 址 ， 转 发 效率 将 得 到 提升 。 
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PHP (Penultimate Hop Poppoing， 欢 末 跳 弹出 ) 机 制 解决 了 这 个 问题 。PHP 也 被 称 
为 倒数 第 二 跳 弹 出 ,在 本 节 的 例子 中 ，R3 是 到 达 3.3.3.0/24 网 段 的 最 后 一 跳 LSR， 而 R2 
则 是 次 末 跳 〈 倒 数 第 二 跳 )， 所 谓 PHP， 指 的 是 次 末 跳 LSR 在 转发 标签 报 文 时 ， 率 先 将 
报 文 的 标签 头 部 移 除 ， 将 里 面 所 封闭 的 报 文 转发 给 最 后 一 跳 LSR 的 操作 。 典 型 的 PHP 
机 制 是 ， 最 后 一 跳 LSR 在 问 倒 数 第 二 跳 LSR 通告 标签 映射 时 ， 将 标签 值 设置 为 3。 

在 MPLS 的 标签 空间 中 ，3 是 一 个 有 着 特 殊 意 义 的 标签 值 ， 它 被 称 为 隐 式 空 标签 
(Implicit Null Label)。LSR 在 转发 标签 报 文 时 ， 如 果 发 现 该 报 文 的 入 站 标签 对 应 的 出 站 
标签 为 3， 则 将 标签 头 部 弹出 ， 并 将 里 面 所 封装 的 报 文 转发 给 最 后 一 跳 LSR。 

如 图 13-25 所 示 ，R3 作为 3.3.3.0/24 的 出 站 LSR， 为 该 路 由 分 配 的 标签 值 为 3， 它 
将 该 路 由 的 标签 映射 通告 给 其 他 LSR 邻居 。 当 R2 收 到 发 往 3.3.3.3 的 标签 报 文 时 ， 它 经 
过 NHLFE 表 项 的 查询 ， 发 现 报 文 的 出 站 标签 是 3， 于 是 它 将 报 文 的 标签 头 部 弹出 ， 然 后 
将 里 面 所 封装 的 IP 报 文 转发 给 R3， 后 者 收 到 这 个 IP 报 文 后 ， 直 接 查 询 FIB 表 ， 然 后 将 
报 文 转发 到 目的 设备 。 


eens bieae epee iereseo Weeront newt eer teraters tava rs etm te errraphRsen te eerie eieeeanrmo et eee Vesterrruten at eweo tne Warm prs gs mea there eter mE ns 
站 


| MPLS 网 络 


标签 映射 标签 映射 | 

| FEC 3.3.3.0/24 FEC 3.3.3.0/24 

| 标签 : 1025 标签 :3 | 
QQ | 

| 3.3.3.0/24 









去 往 3.3.3.3 的 IP 报 文 | | 标 多 


R3 收 到 R2 转发 的 IP 报 文 后 直接 


的 
查询 FIB 表 ， 提 高 了 查询 效率 3.3.3.0/24 Tunnel ID=0x00 






图 13-25 PHP 操作 


华为 路 由 喜 缺 省 已 经 激活 了 PHP 特性 ， 因 此 出 站 LSR 缺 省 向 倒数 第 二 跳 LSR 分 配 
隐 式 空 标签 。 


13.2.5 “案例 1: LDP 基础 实验 


在 图 13-26 中 ，R1、R2、R3 及 R4 将 构成 一 个 简单 的 MPLS 网 络 ， 这 些 路 由 器 将 部 
暂 MPLS 及 LDP。 首 先 为 了 保证 MPLS 网 络 内 实现 路 由 互通 ， 我 们 选择 在 四 台 路 由 器 上 
部 署 OSPF。 所 有 的 路 由 器 都 创建 Loopback0 接口 ，Loopback0 接口 的 地 址 将 作为 设备 的 
OSPF Router-ID 及 MPLS LSR-ID。 由 于 该 网 络 将 部 团 LDP， 而 LDP 的 会 话 又 是 基于 传 
输 地 址 建立 的 ， 传 输 地 址 缺 省 为 该 设备 的 LSR-ID， 因 此 为 了 确保 直 连 设备 之 间 的 LDP 
会 话 能 够 正常 建立 ，Loopback0 接口 的 路 由 需 被 发 布 到 OSPF 中 ， 也 就 是 说 ， 路 由 器 需 
要 通过 OSPF 获知 到 达 其 他 设备 Loopback0 接口 的 路 由 。 


634 HCNP 路 由 交换 学 习 指 南 


| Loopback0 Loopback0 Loopback0 Loopback0 | 
| .1.132 2.2.2.2/32 3.3.3.3/32 4.4.4.4/32 



















GEO/0/0 GEO/0/] 


10.1.12.1/24 10.1.34.3/24 


GEO0/0/0 GE0/0/0 GE0O/0/0 
RI 10.1.12.2/24 R2 10.1.23.3/24 R3 10.1.344/24 R4 


GEU/O/1 
10.1.23.2/24 





-一 wear -= 一 ae 一 一 一 一 ~ 一 一 一 





一 一 一 一 -一 ~ 一 一 一 = 一 一 一 一 一 一 一 .一 一 一 -一 一 一 一 一 -一 一 一 一 -~ 一 一 一 一 -一 -一 -一 -一 一 -一 -一 一 一 ~ 一 一 一 一 一 


13-26 ”LDP 基础 实验 


R1 的 配置 如 下 : 

# 配 置 Loopback0: 

[Rijinterface loopback0 
[R1-LoopbackOJip address 1.1.1.1 32 


# 配 置 OSPF: 

[R1ljospf 1 router-id 1.1.1.1 

[R1-ospf-1larea 0 

[R1-osp 他 1-0.0.0.0]network 10.1.12.0 0.0.0.255 
[R1-ospf-1-0.0.0.0]jnetwork 1.1.1.1 0.0.0.0 


# 了 配置 MPLS， 

[Ri]mpls lsr-id 1.1.1.1 # 配 置 MPLS LSR ID 
[Rijmpls # 全 局 激活 MPLS 
[Ri-mpls]quit 

[Rlljmpls ldp # 全 局 激活 LDP 

# 在 接口 上 激活 MPLS 及 LDP: 

[R1linterface GigabitEthernet 0/0/0 : 
[R1-GigabitEthermet0/0/0] mpls # 在 接口 上 激活 MPLS 
[R1-GigabitEthernet0/0/0] mpls ldp # 在 接口 上 激活 LDP 


在 上 述 配 置 中 , 系统 视图 中 执行 的 mpls ldp 命令 用 于 全 局 激活 LDP, 完成 该 配置 后 ， 
还 需 在 接口 上 执行 mpls 及 mpls ldp 命令 ， 从 而 在 接口 上 激活 MPLS 及 LDP。 
R2 的 配置 如 下 : 


# 配 置 Loopback0: 
[R2]interface loopback0 
[R2-Loopback0]jip address 2.2.2.2 32 


# 配 置 OSPF: 

[R2]ospf 1 router-id 2.2.2.27- 

[R2-0spf-1]area 0 

[R2-0spf-1-0.0.0.0]network 10.1.12.0 0.0.0.255 
[R2-ospf-1-0.0.0.0]network 10.1.23;0 0.0.0.255 
[R2-ospf-1-0.0.0.0]network 2.2.2.2 0.0.0.0 


# 配 置 MPLS: 
[R2]mpls Isr-id 2.2.2.2 
[R2jmpls 
[R2-mplslquit 
[R2]mpls ldp 
[R2-mpls-ldp]quit 
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[R2]interface GigabitEthernet 0/0/0 
[R2-GigabitEthernet0/0/0]mpls 
[R2-GigabitEthermet0/0/0]mpls ldp 
[R2]jinterface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]mpls 
[R2-GigabitEthernet0/0/1 Impls ldp 


R3 的 配置 如 下 : 

# 配 置 Loopback0: 

[R3]Jinterface loopback0 
[R3-Loopback0]ip address 3.3.3.3 32 


# 配 置 OSPF; 

[R3]ospf 1 router-id 3,3,3,3 

[R3-ospf-1]area 0 

[R3-osp 人 1-0.0.0.0]jnetwork 10.1.23.0 0.0.0.255 
[R3=0spf-1-0.0.0.0]network 10.1.34.0 0.0.0.255 
[R3-0spf-1-0.0.0.0]network 3.3,3.3 0.0.0.0 


# 配 置 MPLS: 

[R3jmpls lsr-id 3.3.3.3 

[R3jmpls 

[R3-mpisjquit 

[R3]mpls ldp 

[R3-mpls-ldp]quit 

[R3]interface GigabitEthernet 0/0/0 
[R3-GigabitEthernet0/0/0]mpis 
[R3-GigabitEthernet0/0/0jmpls ldp 
[R3]interface GigabitEthernet 0/0/1 
[R3-GigabitEthernet0/0/] |mpls 
[R3-GigabitEthernet0/0/1]mpls ldp 


R4 的 配置 如 下 : 


# 配 置 Loopback0: 
[R4jinterface loopback0 
[R4-Loopback0]jip address 4.4.4.4 32 


# 配 置 OSPF: 

[R4]ospf 1 router-id 4.4.4.4 

[R4-ospf1jarea 0 

[R4-ospf-1-0.0.0.0]network 10.1.34.0 0.0.0.255 
[R4-osp 人 1-0.0.0.0]network 4.4.4.4 0.0.0.0 


# 配 置 MPLS: 
[R4]mpls lsr-id 4.4.4.4 
[R4]mpls 
[R4-mpls]quit 
[R4]jmpls ldp 
[R4-mpls-ldp]quit 


[R4]interface GigabitEthernet 0/0/0 
[R4-GigabitEthernet0/0/0]mpls 
[R4-GigabitEthernet0/0/0]mpls ldp 
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完成 上 述 配置 后 ， 首 先 应 该 得 看 各 人 台 设备 的 LDP 对 等 体 关 系 的 建立 情况 。 使 用 display 
mpls ldp peer 命令 可 以 查看 设备 的 LDP 邻居 表 ， 以 R1 为 例 : 
<R1l>display mpls ldp peer 


LDP Peer Information in Public network 
人 站 before a peer means the peer is being deleted. 


TOTAL: 1 Peer(s) Found. 

从 上 述 输出 可 以 看 出 ，R1 在 自己 的 GE0/0/0 接口 上 发 现 了 一 个 LDP 对 等 体 ， 其 LSR 
ID 为 2.2.2.2， 传 输 地 址 也 是 2.2.2.2。 在 display mpls ldp peer 命令 后 增加 verbose 关键 字 ， 
可 以 查看 LDP 对 等 体 的 详细 信息 : 


<R1l>display mpls ldp peer verbose 


LDP Peer Information in Public network 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


PeerLDP ID 2 

Peer Max PDU Length :4096 Peer Transport Address < 
Peer Loop Detection : Off Peer Path Vector Limit ; 一 一 
Peer FT Flag : Off Peer Keepalive Timer :45 Sec 
Recovery Timer : ---- Reconnect Timer : 一 ~- 
Peer Type :Local 


Peer Label Advertisement Mode : Downstream Unsolicited 


Peer Discovery Source : GigabitEthernet0/0/0 
Peer Deletion Status :No 
Capability-Announcement : Off 

Peer P2MP Capability : Of 


另外 ， 在 设备 上 使 用 display mpls ldp session 命令 ， 可 以 查看 LDP 对 等 体 的 会 话 信 
县 。 例 如 在 R1 上 执行 该 命令 ， 可 以 看 到 如 下 输出 : 


<Rl1>display mpis ldp session 





mm- 


LDP Session(s) in Public Network 
Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM) 
A™*'before a session means the session is being deleted. 


TOTAL: 1 session(s) Found. 


从 上 述 输出 可 以 看 出 ，R1 的 LDP 对 等 体 2.2.2.2 (R2) 当前 的 状态 为 Operational, 
这 表示 R1 与 该 邻居 的 LDP 会 话 已 经 建立 成 功 。 在 display mpis ldp session 命令 中 增加 
verbose 天 键 字 ， 能 够 看 到 关于 LDP 会 话 的 更 多 信息 : 


<R1>display mpls ldp session verbose 


LDP Session(s) in Public Network 
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一 一 一 一 一 一 一 一 。 呈 一 一 -一 一 -一 -一 一 一 一 一 一 -一 一 一 -一 号 一 一 一 一 一 一 一 一 一 一 一 一 一 一 呈 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 号 一 一 一 一 一 一 一 


Peer LDP ID "2 Local LDP ID WN wh WY ef 
TOP'Connection, 1. 2 

Session State : Operational Session Role : Passive 
Session FT Flag :Off MD5 Flag OH 


Reconnect Timer : --- Recovery Timer : -~- 
Keychain Name ，: -…-- 
Negotiated Keepalive Hold Timer :45 Sec 


Configured Keepalive Send Timer : ~--- 


Keepalive Message Sent/Revd : 111/111 (Message Count) 


Label Advertisement Mode : Downstream Unsolicited 
Label Resource Status(Peer/Locat) : Available/Available 
Session Age : 0000:00:27 (DDDD:HH:MM) 
Session Deletion Status :No 
Capability: 

Capability-Announcement "OT 

P2MP Capability :Off 


Outbound&Inbound Policies applied :NULL 


Addresses received from peer: (Count: 3) 
se el 10.1.12.2 $01,232 


OO ee ee see ed 


接 下 来 看 看 LSP 的 建立 情况 。 当 R1、R2、R3 及 R4 运行 OSPF 后 ，MPLS 网 络 内 
已 经 实现 了 路 由 互通 ， 也 就 是 每 台 路 由 器 都 拥有 到 达 网 络 内 各 个 网 段 的 路 由 ， 其 中 包括 
到 达 各 互联 链 路 及 各 设备 Loopback0 接口 的 路 由 。OSPF 在 网 络 中 的 运行 除了 使 得 LDP 
邻居 关系 的 建立 能 够 顺利 进行 ， 也 为 后 续 的 LDP 标签 分 配 提 供 了 重要 依据 。 

当 这 四 台 路 由 器 激活 MPLS 和 LDP 后 ， 每 台 设 备 基 于 自己 路 由 表 中 的 路 由 前 级 进 
行 标签 分 配 ， 并 且 将 自己 为 路 由 前 缀 (FEC) 所 分 配 的 标签 通告 给 LDP 邻居 。 

接 下 来 重点 观察 R4 的 直 连 接口 路 由 4.4.4.4/32。 在 R4 上 使 用 display mpls ldp lsp 
命令 ， 可 以 查看 使 用 LDP 所 创建 的 LSP 的 相关 信息 。 


<R4>display mpls ldp lsp 
LDP LSP Information 
DestAddress/Mask In/OutLabel UpstreamPeer NextHop OutInterface 
1 下 .1732 NULL/1024 -~ 10.1.34.3 GE0/0O/0 
下 到 上 3 1024/1024 二 10.1.34.3 GE0/0/0 
pe pe pA be ps NULL/1025 - 10.1.34.3 GE0/0/0 
2.2.2 2 102$/1025 3.333 10,1.34.3 GE0/0/0 
3.3.3.3/32 NULL/3 - 10.1.34.3 GE0/0/0 
Se RY 1026/3 A, 10.1.34.3 GEO/0/0 
4.4.4.4/32 3/NULL 3.3.3.3 127.0.0.1 InLoop0 
*4.4.4.4/32 Liberal/1026 DS/3.3.3.3 


Pr 


细心 的 读者 应 该 能 从 上 述 输出 中 看 到 一 个 规律 一 一 这 些 表 项 都 对 应 者 32 位 失 公 长 
度 的 主机 路 由 , 而 网 络 中 互联 网 段 的 路 由 却 并 没有 在 此 出 现 , 这 是 因为 在 华为 路 由 桌 上 ， 
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LDP 缺 省 只 为 设备 路 由 表 中 的 主机 路 由 分 配 标签 〈 可 以 通过 在 MPLS 配置 视图 下 使 用 
lsp-trigger 命令 修改 该 缺 省 行为 ),， 这 是 为 了 防止 当 路 由 条 目 过 多 时 ， 导 致 LSP 的 数量 太 
大 、 设 备 负担 过 重 。 

观察 以 上 输出 可 以 发 现 ， 路 由 4.4.4.4/32 (R4 的 Loopback0 接口 的 直 连 路 由 ) 的 入 
站 标签 (InLabel) 为 3， 出 站 标签 (OutLabel) 为 NULL。 值 得 强调 的 是 ， 在 一 台 LSR 
上 ， 某 个 FEC 的 入 站 标签 实际 上 就 是 LSR 自己 为 该 FEC 所 分 配 的 标签 ，LSR 将 自己 为 
FEC 所 分 配 的 标签 通告 给 其 他 邻居 LSR, 而 后 者 问 该 LSR 转发 标签 报 文 时 ,所 使 用 的 出 
站 标签 正 是 该 标签 。 因 此 ， 从 该 表 项 可 以 看 出 ，R4 为 本 地 直 连 路 由 4.4.4.4/32 分 配 了 标 
签 值 3， 显 然 ， 这 是 PHP 机 制 的 作用 一 一 R4 希望 上 游 LSR 邻居 在 转发 到 达 4.4.4.4 的 标 
签 报 文 时 ， 将 标签 头 部 弹出 。 

R4 将 把 4.4.4.4/32 路 由 与 标签 值 3 的 映射 通告 给 了 R3。 在 R3 上 执行 display mpls ldp 
lsp 可 以 看 到 如 下 输出 : 


<R3>display mpls ldp lsp 


LDP LSP Information 

DestAddress/Mask In/OutLabel UpstreamPeer NextHop OutInterface 
1.1:1,1/32 NULL/1029 - 10.1,23.2 GE0/0/0 
1.1,1.1/32 1028/1029 2 10.1.23.2 GE0/0/0 - 
1.1.1.1/32 1028/1029 4.4.4.4 10.1.23.2 GE0/0/0 
0 Liberal/1028 DS/4.4.4.4 

2;2.2.2/32 NULL/3 - 10;1:23.2 GE0/0/0 
2.2.2.2/32 1027/3 2.2.2.2 10.1.23.2 GE0/0/0 
2.2.2.2/132 1027/3 4.4.4.4 10.1.23.2 GE0/0/0 
pa ee Ni Liberal/1027 .~ DS/4.4.4.4 

3.3.3.3/32 ' 3/NULL 4.4.4.4 127.0.0.1 InLoop0 
3.3.3.3/32 3/NULL 2.22.2 127.0.0.1 InLoop0 
*3.3.3.3/32 Liberal/1026 DS/4.4.4.4 

de Be 92 Liberal/1027 DS/2.2.22 

4.4.4.4/32 NULL/3 ~ 10.1.34.4 GEQ/0/1 
4.4.4.4/32 1026/3 4.4.4.4 10.1.34.4 GEQ/0/1 
4.4.4.4/32 1026/3 2 10.1.34.4 “- GEO/0/1 
*4,4,.4,.4/32 Liberal/1028 DS/2.2.2.2 


站 


从 上 述 输出 可 以 看 出 ，R3 在 本 地 为 路 由 4.4.4.4/32 分 配 了 标签 1026。 当 然 ， 它 会 将 
自己 为 该 路 由 所 分 配 的 标签 通告 给 其 他 LSR 邻居 。 

在 LSR 上 执行 display mpls lsp 命令 可 以 查看 LSP 信息 ， 该 命令 中 输出 的 LSP 信息 
不 仅仅 是 创建 于 LDP 的 ， 其 他 标签 分 发 协议 创建 的 LSP 信息 也 能 够 通过 该 命令 查看 。 
在 现实 中 ,该 命令 会 经 常 被 我 们 使 用 , 但 是 就 本 例 而 言 ， 由 于 仅仅 使 用 了 LDP 这 一 个 标 
签 分 发 协议 ， 因 此 执行 该 命令 后 显示 出 来 的 内 容 也 就 只 会 有 LDP 所 创建 的 LSP 信息 。 

以 R3 为 例 ， 执 行 该 命令 可 以 看 到 如 下 输出 : 


<R3>display mpls lsp 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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FEC In/Out Label In/Out IF Vrf Name 
2022/42 NULL/3 -/GE0/0/0 

D3239 | 1027/3 -/GE0/0/0 

IILUIV3O NULL/1029 -/GE0/0/0 

1.1.1.1732 1028/1029 -/GE0/0/0 

91 3 3/NULL 几 

4.4.4.4/32 NUT -/GEO/0/1 

4.4.4.4/32 1026/3 -/GE0/0/1 

在 R2 上 执行 display mpls lsp 命令 可 看 到 如 下 输出 : 

<R2>display mpls lsp 


一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 -一 -一 一 -一 一 -一 一 :一 一 一 一 一 -一 一 一 一 一 一 一 一 


一 -一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


FEC In/Out Label In/Out IF Vrf Name 
3.3.3.3/32 NULL/3 -/GEO/0/1 : 
3.3,3,3/32 1027/3; - -/GE0/0/1 
人 NULL/1026 -/GE0/0/1 
4.4.4.4/32 1028/1026 -/GE0/0/1 
pie 3/NULL -人 
i111/32 "WT -/GE0/0/0 
1.1:1.1/32 1029/3 -GE0/0/0 


从 上 述 输出 可 以 看 出 ， R2 在 本 地 为 路 由 4.4.4.4/32 分 配 了 标签 1028， 它 会 将 自己 为 
该 路 由 所 分 配 的 标签 通告 给 R1。 因 此 在 R1 上 能 看 到 如 下 输出 : 


<R1l>display mpls lsp 


FEC In/Out Label In/Out IF Vrf Name 
93333062 LE -/GEO/0/0 

3.3.3.3/32 | 1027/1027 -/GE0/0/0 

4.4.4.4/32 NULL/1028 -/GE0/0/0 

4.4.4.4/32 | 1028/1028 -/GE0/0/0 

22.2.2/32 NULL/3 -/GE0/0/0 

pe 1029/3 -/GE0/0/0 

1,1.3,.W32 3/NULL 小 


此 外 , 在 LSR 上 执行 display mpls lsp verbose 命令 可 以 看 到 LSP 的 详细 信息 。 例如 
在 R2 上 执行 该 命令 ， 可 看 到 如 下 答 出 : 


<R2>display mpls lsp verbose 


一 -一 一 一 一 -一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 -一 一 一 一 :一 一- -一 -一 一 -一 -一 一 一 一 一 -一 一 -一 一 一 一 -一 一 一 一 -一 一 -一 一 -一 -一 一 :一 ~ 一 一 一 一 -一 


一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 :一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


No 4 

VrfIndex : 

Fec : 4.4.4.4/32 

Nexthop ;T01293 

In-Label : 1028 

Out-Label : 1026 

In-Interface de 
Out-Interface : GigabitEthernet0/0/1 
LspIndex "0147 

Token 1 Ora 


Frrioken ‘00 
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LSTTIYype : Transit 
Outgoing token :1 ,0x0 
Label Operation : SWAP 
Mpls-Mtu #0 O00 
TimeStamp : $834sec 
Bfd-State : -~--- 
BOPKey :  ------ 


从 以 上 信息 可 以 看 出 ， 当 R2 收 到 携带 了 标签 值 1028 的 标签 报 文 时 ， 会 将 报 文 的 标 
和 俭 进 行 置换 ， 将 标签 值 置换 成 1026， 然 后 将 报 文 从 GE0/0/1 接口 转发 出 去 。 
现在 来 测试 一 下 ， 从 Rl tracert 4.4.4.4: 


<R1>tracert lsp ip 4.4.4.4 32 
LSP Trace Route FEC: IPV4 PREFIX 4.4.4.4/32 , press CTRL C to break. 


Ti Replier Time Type Downstream 

0 Ingress 10.1.12.2/[1028 ] 
1 10,b,12.2 30 ms Transit 10.1.23.3/[1026 ] 
2 10.1.23.3 30 ms Transit 10.1.34.4/[3 ] 

3 4.4.4.4 40 ms Egress 


从 tracert 的 结果 可 以 看 出 数据 包 的 转发 路 径 ， 以 及 标签 的 变化 过 程 ， 如 图 13-27 
所 示 : 


re 





一 一 一 一 一 
标签 映射 标签 映射 标签 映射 
FEC 4.4.4.4/32 FEC 4.4.4.4/32 FEC 4.4.4.4/32 
标签 : 1028 标签 : 1026 标签 : 3 | 
MPLS 网 络 | 


去 往 44.44 的 IP 报 文 
图 13-27 RI1 发 往 4.4.4.4 的 报 文 的 转发 过 程 


13.2.6 ”案例 2: 利用 MPLS 解决 BGP 路 由 黑洞 问题 


本 书 的 “BGP” 一 章 曾 经 介绍 过 BGP 的 路 由 黑洞 问题 ， 与 OSPF 等 路 由 协议 不 同 ， 
BGP 设备 之 间 无 需 百 连 也 可 建立 对 等 体 关 系 ， 仅 需 确 保 两 者 之 间 路 由 可 达 并 能 正确 
建立 起 TCP 连接 即 可 。 在 部 署 跨 设备 的 BGP 对 等 体 关系 时 ， 路 由 黑洞 问题 是 需要 格 
外 关注 的 。 

在 图 13-28 中 ，R1、R2、R3 及 R4 是 AS64519 中 的 四 台 路 由 器 ， 这 些 路 由 器 首先 
运行 了 OSPF， 实 现 了 AS 内 部 的 路 由 互通 (10.1.1.0/24 及 10.2.2.0/24 这 两 个 网 段 并 没有 
被 发 布 到 OSPF 中 )。 
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GEO/0/! GEO0/0/0 


| R1 10.1.12.0/24 R2 10.1.23.0/24 R3 10.1.34.0/24 R4 
| ' ! ! I 
BGP 路 由 器 。 。”” 非 BGP 路 由 器 。 ” 非 BGP 路 由 器 。 “BGP 路 由 器 | 


~ ”Loopback 接口 
图 13-28 RI1 及 R4 跨 设 备 建立 IBGP 对 等 体 关 系 


现在 ， 一 个 IBGP 对 等 体 关系 在 R1 及 R4 之 间 被 建立 ， 值 得 注意 的 是 ，R2 及 R3 并 
没有 运行 BGP， 因 此 Rl1 及 R4 的 IBGP 对 等 体 关 系 跨越 了 了 R2 及 R3。R1 及 R4 通过 AS 
内 所 运行 的 OSPF 获知 到 达 对 方 的 路 由 。 现 在 R4 将 路 由 10.2.2.0/24 发 布 到 BGP，BGP 
将 这 条 路 由 通告 给 R1， 如 此 一 来 R1 便 能 通过 BGP 学 习 到 该 路 由 ， 同 理 ，R1 将 路 由 
10.1.1.0/24 发 布 到 BGP 后 ，R4 也 能 够 通过 BGP 学 习 到 该 条 路 由 。 那 么 问题 来 了 ， 此 时 
10.1.1.0/24 网 段 与 10.2.2.0/24 网 段 能 够 实现 互 访 么 ? 显然 不 行 。 设 想 一 下 ， 假 设 现在 
10.1.1.0/24 网 段 内 有 用 户 要 访问 10.2.2.2 这 个 IP 地 址 ， 访 用户 发 出 的 报 文 到 达 R1 后， 
RI1 在 自己 的 路 由 表 中 查询 目的 IP 地 址 10.2.2.2， 结 果 发 现 有 一 条 BGP 路 由 匹配 该 目的 
IP 地 址 ， 而 该 条 BGP 路 由 的 下 一 跳 为 4.4.4.4( 假 设 R1 及 R4 的 BGP 对 等 体 关系 基于 双 
方 的 Loopback 接口 建立 ， 而 R4 的 Loopback 接口 IP 地址 为 4.4.4.4)，R1 进一步 在 自己 
的 路 由 表 中 查询 到 达 4.4.4.4 的 路 由 (递归 查询 )， 发 现存 在 匹配 的 条 目 (OSPF 路 由 )， 
且 下 一 跳 为 10.1.12.2 (R2 的 直 连 接口 IP 地 址 )， 于 是 R1 将 报 文 转发 给 R2。R2 收 到 报 
文 后 ， 在 路 由 表 中 查询 到 达 10.2.2.2 的 路 由 ， 结 果 发 现 没 有 任何 路 由 条 目 匹 配 该 目的 IP 
地 址 ， 因 此 报 文 在 R2 这 里 便 被 丢弃 了 ， 如 图 13-29 所 示 。 显 然 ， 由 于 R2 及 R3 并 未 运 
行 BGP， 因 此 它们 当然 是 无 法 学 习 到 R1 及 R4 在 BGP 中 所 通告 的 路 由 的 ， 于 是 R2 及 
R3 这 里 出 现 了 黑洞 。 


”10.1.1.0/24 | 





R3 

| t | 

| BGP 路 由 器 非 BGP 路 由 器 大 BGP 路 由 器 BGP 路 由 器 | 
去 往 10.2.2.2 的 IP 报 文 


图 13-29 BGP 路 由 黑洞 问题 


在 上 述 场景 中 ， 要 解决 BGP 黑洞 问题 ， 使 得 10.1.1.0/24 网 段 与 10.2.2.0/24 网 段 中 
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的 用 户 能 够 相互 通信 ， 方 法 有 很 多 。 例 如 : 

e 在 R2 及 R3 上 运行 BGP， 并 且 在 AS64519 中 的 所 有 BGP 路 由 器 间 实 现 IBGP 对 
等 体 关 系 的 全 互联 。 当 然 ， 考 虑 到 维护 大 量 的 [BGP 对 等 体 关 系 可 能 增加 设备 的 负担 ， 
可 以 采用 路 由 反射 器 或 联邦 等 解决 方案 。 然 而 采用 这 种 方案 可 能 就 违背 了 网 络 设计 的 初 
衷 一 一 网 络 设计 者 没有 在 R2 及 R3 上 运行 BGP 的 打算 ， 可 能 是 并 不 希望 这 些 设备 因为 
维护 太 多 BGP 路 由 而 导致 负担 过 重 ， 一 个 理想 的 情况 是 R2 及 R3 专注 于 数据 转发 ， 而 
不 必 维 护 大 批量 路 由 前 绥 。 

e 在 Rl 及 R4 上 , 将 10.1.1.0/24 及 10.2.2.0/24 路 由 引入 OSPF, 使 得 R2 及 R3 能 够 
通过 OSPF 学 习 到 这 两 个 网 段 的 路 由 ， 从 而 解决 黑洞 问题 。 当 然 ， 如 果 采 用 这 种 解决 方 
案 ， 那 么 BGP 也 就 没有 在 R2 及 R3 上 运行 的 必要 了 。 然 而 ， 本 案例 的 拓扑 仅 是 一 个 被 
人 简化 的 示意 图 ;设想 一 下 如 果 Rl 及 R4 所 连接 的 并 非 单一 的 网 段 , 而 是 一 个 拥有 大 量 网 
段 的 大 规模 网 络 ， 难 道 要 将 到 达 这 些 网 段 的 路 由 统统 都 引入 OSPF 中 么 ? 

有 必要 再 重申 一 下 本 网 络 的 诉求 : BGP 路 由 可 以 在 R1 及 R4 之 间 直 接 传递 ， 而 出 
于 安全 性 的 考虑 ， 或 者 出 于 优化 设备 性 能 的 考虑 ，R2 及 R3 并 不 运行 BGP， 它 们 只 能 3 
过 OSPF 学 习 到 AS64519 内 的 路 由 ， 与 此 同时 还 需 解 决 数据 转发 的 黑洞 问题 。 

MPLS 技术 为 该 场景 提供 了 一 种 全 新 的 解决 方案 。 设 想 一 下 ， 如 果 10.1.1.0/24 及 
10.2.2.0/24 网 段 互 访 的 报 文 在 穿越 AS64$19 时 , 以 标签 报 文 的 形态 而 不 是 以 下 报 文 的 形 
态 出 现 ， 即 IP 报 文 被 封 靖 在 MPLS 标签 头 部 之 后 ， 那 么 R2 及 R3 也 就 无 需 维 护 到 达 这 
两 个 网 段 的 路 由 了 ,它们 可 以 基于 标签 对 报 文 进行 转发 , 而 无 需 关 心 报 文 的 目的 卫 地 址 。 

为 了 实现 这 个 目的 ， 我 们 需要 在 AS64519 中 的 R1、R2、R3 及 R4 上 激活 MPLS， 
当然 ， 为 了 使 得 整个 解决 方案 的 可 扩展 性 更 高 ， 可 以 进一步 在 四 台 路 由 器 上 激活 LDP， 
路 由 占 之 间 按 图 13-30 所 示 建 立 LDP 对 等 体 关 系 。 
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i LDP 对 等 体 。 Rh， ”LDP 对 等 体 和 LDP 对 等 体 Rd4 
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BGP 路 由 器。 非 BGP 路 由 器 。 。” 非 BOP 路 由 器 ” 





BGP 路 由 器 
了 Loopback 接口 
图 13-30 ”在 四 台 路 由 器 上 激活 MPLS 及 LDP 


R1、R2、R3 及 R4 激活 了 MPLS 及 LDP 后 ， 以 R4 为 例 ， 它 将 在 本 地 为 Loopback 
接口 直 连 路 由 4.4.4.4/32 分 配 标签 ， 并 且 将 标签 映射 通过 LDP 报 文 通告 给 R3，R3 收 到 
该 标签 映射 后 ， 在 本 地 为 该 路 由 分 配 上 自己 的 标签 ， 然 后 继续 回 自 己 的 上 游 LSR R2 通告 
该 标签 映射 。R2 同 理 ， 在 收 到 R3 通告 的 标签 映射 后 ， 在 本 地 为 该 路 由 分 配 标签 ， 并 将 
标签 映射 通告 给 R1。 如 此 一 来 ， 一 条 关于 4.4.4.4/32 路 由 的 LSP 便 建立 了 起 来 。 同 理 ， 
网 络 中 也 会 建立 起 一 条 关于 1.1.1.1/32 路 由 的 LSP。 
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现在 ，R4 通过 BGP 将 10.2.2.0/24 路 由 通告 给 R1。 在 Rl1 的 路 由 表 中 ，10.2.2.0/24 
路 由 的 下 一 跳 是 R4 的 Loopback 接口 IP 地 址 4.4.4.4( 即 R4 的 BGP 更 新 源 IP 地 址 )， 
此 时 当 R1 转发 到 达 10.2.2.0/24 网 段 的 报 文 时 ， 它 可 以 在 报 文中 压 入 标签 头 部 ， 由 于 该 
报 文 的 下 一 跳 是 4.4.4.4， 因 此 R1 首先 想到 的 便 是 将 报 文 送 达 下 一 跳 设 备 ， 于 是 R1 所 使 
用 的 出 站 标签 便 是 4.4.4.4/32 路 由 的 标签 ， 也 就 是 下 游 LSR 邻居 R2 所 通告 的 关于 
4.4.4.4/32 路 由 的 标签 。R2 收 到 标签 报 文 后 ， 将 标签 进行 置换 ， 然 后 将 报 文 转发 给 R3， 
R3 是 次 末 跳 ， 如 果 启 用 了 PHP 机 制 ， 那 么 R3 便 将 标签 头 部 弹出 然后 将 里 面 封装 的 IP 
报 文 转发 给 R4， 报 文 到 达 R4 后 ，R4 将 对 其 执行 路 由 操作 ， 在 自己 的 FIB 表 中 查询 到 
达 目 的 IP 地 址 的 路 由 ， 然 后 将 报 文 转发 出 去 。 

当 10.2.2.0/24 网 段 的 用 户 发 送 了 下 报 文 给 10.1.1.0/24 时 ， 同 理 ， 报 文 被 送 达 R4 后 ，R4 
在 报 文中 压 入 标签 头 部 , 由 于 该 报 文 的 下 一 跳 是 1.1.1.1, 因此 R4 所 使 用 的 标签 便 是 1.1.1.1/32 
路 由 的 出 站 标签 ， 也 就 是 R3 通告 过 来 的 关于 1.1.1.1/32 路 由 的 标签 。 报 文 送 出 后 ， 经 由 R3 
进行 标签 置换 ， 然 后 送 达 R2，R2 是 次 末 跳 ， 它 将 标签 头 部 弹出 ， 将 里 面 封装 的 IP 报 文 转 
发 给 R1， 最 后 R1 对 该 报 文 执 行路 由 操作 ， 通 过 查询 FIB 表 将 报 文 转发 出 去 。 

接 下 来 看 看 各 台 设 备 的 配置 。 

R1 的 配置 如 下 : 

# 配 置 Loopback0; 


[Rllinterface loopback0 
[Ri1-LoopbackOlip address 1.1.1.1 32 


#OSPF 的 配置 : 

[R1]ospf router-id 1.1.1.1 

[R1-ospf-1]area 0 

[R1-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255 
[R1-osp 人 1-area-0.0.0.0]jnetwork 1.1.1.1 0.0.0.0 


#BGP 的 配置 : 

-[Rljbgp 64519 
[Rl-bgplrouter-id 1.1.1.1 
[Ri-bgplpeer 4.4.4.4 as-number 64519 
[Rl1-bgplpeer 4.4.4.4 connect-interface LoopBack 0 
[R1-bgpjnetwork 10.1.1.0 24 


#MPLS 及 LDP 的 配置 : 
[R1]mpls Isr-id 1.1.1.1 
[Rll]mpls 

[Rl1l-mplslquit 

[Rljmpls ldp 


[R1]jinterface GigabitEthernet 0/0/0 
[Rl-GigabitEthernet0/0/0]Jmpls 
[R1-GigabitEthernet0O/0/0]jmpls ldp 
[Ri1linterface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1 jmpls 


R2 的 关键 配置 如 下 : 

# 配 置 Loopback0; 

[R2jinterface loopback0 
[R2-Loopback0]ip address 2.2.2.2 32 
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#OSPF 的 配置 : 

[R2]ospf 1 router-id 2.2.2.2 

[R2-0spf-1 jarea 0 

[R2-osp 他 1-area-0.0.0.0jnetwork 10.1.12.0 0.0.0.255 
[R2-0ospf-1-area-0.0.0.0Jnetwork 10.1.23.0 0.0.0.255 
[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0 


#MPLS 及 LDP 的 配置 : 
[R2jmpils lsr-id 2.2.2.2 
[R2jmpls 

[R2-mpls]quit 

[R2]jmpls ldp 


[R2jimnterftace GigabitEthernet 0/0/0 
[R2-GigabitEthernetO/O/0]mpls 
[R2-GigabitEthernet0/0/0]mpls ldp 
[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthemet0/0/1]mpls 
[R2-GigabitEthernet0/0/1 mpls ldp 
R3 的 关键 配置 如 下 : 

# 了 配置 Loopback0: 

[R3]jinterface loopback0 
[R3-Loopback0jip address 3.3.3.3 32 


#OSPF 的 配置 ， 

[R3]ospf 1 router-id 3.3.3.3 

[R3-ospf-1]area 0 

[R3-ospf-1-area-0.0.0.0]network 10.1.23.0 0.0.0.255 
[R3-ospf-1-area-0.0.0.0Inetwork 10.1.34.0 0.0.0.255 
[R3-osp 人 1-area-0.0.0.0jnetwork 3.3.3.3 0.0.0.0 


#MPLS 及 LDP 的 配置 : 
[R31]mpls lsr-id 3.3.3.3 
[R3]mpls 

[R3-mpls]quit 

[R3]mpls ldp 


[R3]interface GigabitEthernet 0/0/0 
[R3-GigabitEthernet0/0/0]mpls 
[R3-GigabitEthernet0/0/0]mpls ldp 
[R3jinterface GigabitEthernet 0/0/]1 
[R3-GigabitEthernet0/0/] jmpls 
[R3-GigabitEthernet0/0/1]mp!ls ldp 
R4 的 关键 配置 如 下 : 

# 配 置 Loopback0: 

[R4jinterface loopback0 
[R4-Loopback0]ip address 4.4.4.4 32 


#OSPF 的 配置 : 

[R4]ospf 1 router-id 4.4.4.4 

[R4-ospf-1jarea0 

[R4-osp 人 1-area-0.0.0.0]network 10.1.34.0 0.0.0.255 
[R4-osp 人 1-area-0.0.0.0jnetwork 4.4.4.4 0.0.0.0 
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#BGP 的 配置 : 

_. [R4]bgp 64519 
[R4-bgpjrouter-id 4.4.4.4 
[R4-bgpjpeer 1.1.1.1 as-number 64519 
[R4-bgp]peer 1.1.1.1 connect-interface LoopBack 0 
[R4-bgp]jnetwork 10.2.2.0 24 


#MPLS 及 LDP 的 配置 : 
[R4]mpls lsr-id 4.4.4.4 
[R4jmpls 

[R4-mpls]quit 

[R4]mpls ldp 


[R4]interface GigabitEthernet 0/0/0 
[R4-GigabitEthernet0/0/0]mpls 
[R4-GigabitEthermet0/0/0jmpls ldp 一 
一 [R4jinterface GigabitEthernet 0/0/1 
[R4-GigabitEthernet0/0/1jmpls 


接 下 来 验证 一 下 相关 配置 。 我 们 重点 关注 从 10.1.1.0/24 发 往 10.2.2.0/24 的 报 文 的 转 
首先 看 一 下 R1 的 路 由 表 : 

<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 17 Routes : 17 
Destination/Mask Proto RS, - Gost Flags NextHop Interface 
2.2:2.2/32 OSPF 0 “1 D 10.1.12.2 GigabitEthernet0/0/0 
3,.3.3.3/32 OSPF 让 二 D 10.1.12.2 GigabitEthernet0/0/0 
4.4.4.4/32 OSPF JE 3 D 10.1.12.2 GigabitEthernet0/0/0 
10.1.23.0/24 OSPF Me D 10.1.12.2 GigabitEthernet0/0/0 
10.1.34.0/24 OSPF hb D 10.1.12.2 GigabitEthernet0/0/0 
10.2.2.0/24 IBGP 255 朋 RD 4.4.4.4 GigabitEthernet0/0/0 


R1 已 经 通过 BGP 学 习 到 了 10.2.2.0/24 路 由 ， 并 且 访 路 由 的 下 一 跳 为 4.4.4.4， 显 然 
4.4.4.4 并 非 直 连 可 达 ， 因 此 R1 需要 对 该 路 由 进行 递归 查询 ， 从 路 由 表 中 可 以 看 出 ， 
4.4.4.4/32 路 由 的 下 一 跳 为 10.1.12.2， 这 是 R2 的 接口 IP 地 址 ， 很 明显 如 果 R1 直接 将 IP 
报 文 转发 到 下 一 跳 设 备 R2， 那 么 该 报 文 在 R2 这 里 就 必然 会 被 丢弃 。 

在 设备 上 使 用 display mpls lsp 命令 ， 可 以 查看 LSP 信息 ，R1 的 LSP 信息 如 下 : 


<R1l>display mpls lsp 


FEC In/Out Label In/Out IF VIrf Name 
3.3,3;3/32 NULL/1027 -/GE0/0/0 
3.3.3.3/32 1027/1027 -/GEO/0/0 
4.4.4.4/32 NULL/1028 -/GE0/0/0 
4.4.4.4/32 1028/1028 -/GE0/0/0 


2.2.2.2/32 NULL/3 -/GE0/0/0 
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2.2.2.2/32 1029/3 -GE0/0/0 
1.1.1.1732 3NULL -/- 


在 以 上 输出 中 ，In/Out Label 列 展示 了 每 条 FEC (路 由 前 级 ) 的 入 站 及 出 站 标签 ， 其 
中 出 站 标签 是 由 下 游 的 LSR 邻居 为 该 FEC 所 分 发 的 。 从 再 的 LSP 信息 可 以 看 出 ， 关 
于 4.4.4.4/32 这 条 路 由 ，R1 获得 了 下 游 LSR 邻居 R2 所 通告 的 标签 ， 值 为 1028。 因 此 ， 
如 果 R1 将 到 达 10.2.2.0/24 网 段 的 下 报 文 压 入 标签 头 部 (标签 信 设置 为 1028)， 然 后 将 
其 转发 给 下 游 LSR R2， 那 么 R2 便 能 根据 标签 进行 报 文 转发 ， 最 终 将 报 文 送 达 4.4.4.4， 
而 R4 收 到 报 文 后 ， 目 然 知 道 如 何 处 理 。 

R2 的 LSP 信息 如 下 : 

<R2>display mpls lsp 


一 一 一 一 一 一 一 一 -一 -一 -一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -” 一- -一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 


FEC In/Out Label In/Out IF VIrf Name 

1.1.1.1/32 NULL/3 -/GE0/0/0 

1.1.1.1/32 1024/3 -/GEO0/0/0 

2.2.2.2/32 3/NULL -/- 

3.3.3.3/32 NULL/3 -/GEO/OV1 
.33/32 1025/3 -/GEQ/0/1 

4.4.4.4/32 NULL/1026 -/GE0/0/] 

4.4.4.4/32 1028/1026 -/GEO0/0/1 

R3 的 LSP 信息 如 下 : 

<R3>dis mpls ls 


FEC In/Out Label In/Out IF Vrf. Name 
S32 NULL/1027 -/GEOQ/0/0 

1 1027/1027 -/GE0/0/0 

2.2.2.2/32 NULL/3 -/GE0/0/0 

2:2.2.2/32 1028/3 -/GE0/0/0 

3.3.3.3/32 3NULL -/- 

4.4.4.4/32 NULL/3 -/GE0/O/ 

4.4.4.4/32 1026/3 -/GEO0/0Q/1 


值得 注意 的 是 , 缺 省 时 , 非 标签 公 网 BGP 路 由 及 静态 路 由 只 能 递归 到 出 接口 及 下 一 
跳 ， 而 不 会 递归 到 隧道 (例如 MPLS 的 LSP 隧道 ), 因此 对 于 RIl 而 言 , BGP 路 由 10.2.2.0/24 
不 会 被 递归 到 4.4.4.4/32 的 LSP 隧道 ,那么 其 发 往 10.2.2.0/24 的 报 文 依然 是 以 IP 报 文 的 
形态 ma 此 时 需 在 Ri 上 配置 route recursive-lookup tunnel 命令 ， 来 激活 递归 隧道 功 
能 。 当 然 ，R4 也 需要 进行 相应 的 配置 。 

R1l 的 配置 如 下 : 


[RI1]ip ip-prefix 1 permit 10.2.2.0 24 
[RI1]route recursive-lookup tunnel ip-prefix 1 


R4 的 配置 如 下 : 
[R4]ip ip-prefix 1 permit 10.1.1.0 24 
[R4]route recursive-lookup tunnel ip-prefix 1 


完成 上 述 配 置 后 ，10.1.1.0/24 与 10.2.2.0/24 网 段 的 用 户 即 可 互通 。 
查看 一 下 R1 的 FIB 表 中 的 相关 表 项 : 


<R1>display fib 10.2.2.0 24 
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Route Entry Count: 1 
Destination/Mask Nexthop Flag TimeStamp Interface TunnelID 
10.2.2.0/24 | DGU t[81] GE0/0/0 Ox9 


意 到 ， 关 于 10.2.2.0/24 的 FIB 表 项 中 ，Tunnel ID 字段 的 值 为 非 0。 因 此 当 R1 收 到 去 
住 10.2.2.2 的 卫 报 文 后 ， 通 过 但 询 FIB 表 ， 它 便 知 让 需要 将 该 报 文 执行 MPLS 转发 操作 。 它 
将 使 用 该 Tunnel ID 值 继续 找到 对 应 的 NHLFE 表 项 ， 然 后 明确 出 站 标签 及 出 站 接口 等 信息 。 
在 Rl 上 执行 display mpls lsp verbose 命令 可 看 到 如 下 输出 : 
< 有 R1>display mpls lsp verbose 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -- 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


No 3 
VrfIndex . 

Fec : 4.4.4.4/32 
Nexthop WH) hw 
In-Label : "NULE 
Out-Label "1028... 
In-Interface HO -- 
Out-Interface : GigabitEthernet0/0/0 
~ LspIndex : 6146 
Token ; ‘0x9 
FrrToken ; OQx0 
LsrType : Ingress 
Outgoing token "Ox 
Label Operation : PUSH 






1 ™ ww f Wo Wi 、 
中 Wi 了 Mn 
i We Ss | NO ~ 
| 1 由 站 
10.1.1.0/24 | 人 10.2.2.0/24 小 
Ad AS 64519 We 


[mn 





标签 映射 标签 映射 标签 映射 
FEC 4.4.4.4/32 FEC 4.4.4.4/32 FEC 4.4:4.4/32 
标签 : 1028 标签 : 1026 标签 : 3 


去 往 10.2.22 的 IP 报 文 
图 13-31 去 往 10.2.2.2 的 报 文 的 转发 过 程 





13.3 MPLS VPN 基础 


VPN (Virtual Private Network， 虚 拟 专 用 网 络 ) 指 的 是 在 一 个 公共 网 络 中 实现 虚拟 
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的 专用 网 络 ， 从 而 使 得 用 户 能 够 基于 该 专用 网 络 实现 通信 的 技术 。 举 个 简单 的 例子 ， 
Internet 是 目前 最 大 的 公共 网 络 之 一 ， 全 球 有 大 量 的 用 户 接 入 该 网 络 ，Internet 上 充满 了 
各 种 安全 威胁 ， 如 果 企 业 的 站 点 之 间 直 接 通 过 Internet 传输 私密 数据 ， 显 然 是 存在 极 大 
的 安全 隐患 的 ， 然 而 Internet 接 入 线路 非常 廉价 ， 抛 弃 Internet， 转 而 选择 站 点 间 直 接 互 
联 的 专线 确实 能 够 之 来 更 高 的 安全 性 ， 但 是 也 给 企业 带 来 了 额外 的 经 济 成 本 。 因 此 许多 
企业 选择 基于 Internet 这 个 公共 网 络 ， 利 用 VPN 技术 ， 在 站 点 之 间 建 立 一 个 专用 的 通信 
网 络 , 该 网 络 可 能 利用 加 密 技 术 对 流量 进行 处 理 , 从 而 提高 了 通信 的 安全 性 , 这 就 是 VPN 
技术 的 应 用 示例 。 

实际 上 ，VPN 并 不 是 一 种 单一 的 技术 ， 而 是 一 个 技术 领域 ， 它 涵盖 了 众多 有 具体 的 技 
术 ， 销 见 的 如 IPSec VPN (Internet Protocol Security VPN)、GRE (Generic Routing 
Encapsulation), L2TP (Layer Two Tunneling Protocol) 等 。 

MPLS VPN 也 是 VPN 技术 中 的 一 种 。 需 要 强调 的 是 ， 本 书 所 介绍 的 MPLS VPN 指 
的 是 BGP/MPLS IP VPN， 这 是 一 种 被 业界 广泛 使 用 的 三 层 VPN 技术 ， 从 其 名 称 上 可 以 
看 出 ， 这 种 技术 是 BGP 与 MPLS 的 有 机 结合 。 在 本 书后 续 的 章 市 中 ， 除 非特 别 指出 ， 
否则 MPLS VPN 即 指 BGP/MPLS IP VPN。 


13.3.1 MPLS VPN 基本 架构 


图 13-32 展示 了 一 个 典型 的 MPLS VPN 应 用 场景 ， 当 然 ， 为 了 讲解 方便 ， 本 书简 化 
了 各 部 分 网 络 中 的 设备 ， 在 一 个 实际 的 服务 提供 商 MPLS VPN 骨干 网 络 中 ,各 种 网 络 设 
备 是 大 量 存在 的 ， 远 远 不 止 图 中 呈现 的 这 么 简单 。 另 一 方面 ， 客 户 站 点 的 网 络 也 被 极 大 
程度 地 简化 了 ， 每 个 站 点 仅 使 用 两 台 设 备 作 为 代表 。 在 本 例 中 ,客户 A 及 客户 B 分 别 存 
在 两 个 站 点 ， 他 们 都 向 该 服务 提供 商 购买 了 MPLS VPN 接 入 服务 。 以 客户 A 为 例 ， 其 
站 点 1 及 站 点 2 要 通过 中 间 的 MPLS VPN 网 络 实现 路 由 及 数据 的 互通 。 





MPLS VPN 骨干 网 络 


A 


图 13-32 MPLS VPN 基本 架构 





“关于 站 点 〈Site) ， 可 以 简单 地 理解 为 同属 一 个 企业 或 机 构 的 、 位 于 不 同 地 理 位 置 
的 IP 网 络 (当然 , 位 于 不 同 地 理 位 置 的 IP 网 络 未 必 就 是 不 同 的 站 点 )。 例 如 企业 A 在 深 
圳 及 北京 分 别 有 一 家 分 公司 ， 那 么 该 企业 在 深圳 及 北京 的 分 公司 的 网 络 就 是 两 个 不 同 的 
站 点 。 该 企业 可 以 通过 购买 VPN 服务 将 两 个 站 点 的 网 络 实现 联通 。 
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在 路 由 层面 ， 客 户 A 的 站 点 1 将 到 达 本 站 点 的 路 由 信息 通过 MPLS VPN 网 络 传递 
到 远 在 男 一 个 城市 甚至 男 一 个 国家 的 站 点 2， 反 过 来 ， 站 点 2 也 是 如 此 。 对 于 客户 而 言 ， 
他 们 希望 自己 的 站 点 路 由 在 服务 提供 商 的 MPLS VPN 网 络 内 是 不 可 见 的 , 而 且 必 须 是 独 
立 传输 、 不 会 存在 冲突 的 ， 他 们 不 关心 MPLS VPN 骨干 网 络 的 具体 形态 。 对 于 服务 提供 
商 而 言 ， 他 们 希望 目 己 骨干 网 络 内 的 传输 设备 能 够 专注 于 数据 转发 ， 而 不 参与 客户 路 由 
的 学 习 及 交互 ， 从 而 避免 维护 大 规模 路 由 表 而 导致 设备 负担 过 重 。 更 重要 的 是 ，MPLS 
VPN 网 络 允 许 大 量 客户 同时 接 入 , 那么 同一 时 间 骨 于 网 络 中 势必 存在 大 量 不 同 客 户 的 路 
由 在 交互 ,服务 提供 商 必须 保证 不 同 客户 的 路 由 在 同一 个 网 络 中 完全 隔离 而 且 独 立交 互 、 
不 会 相互 影响 。 

在 数据 层面 ， 当 客户 A 的 站 点 1 将 发 往 站 点 2 的 卫 报 文 送 入 MPLS VPN 骨干 网 络 
时 ， 报 文 在 MPLS VPN 网 络 边界 被 压 入 标签 头 部 ， 并 最 终 被 送 达 远 端 PE 设备 ， 再 由 该 
PE 设备 将 其 还 原 成 IP 报 文 后 转发 到 该 客户 的 站 点 2。 显 然 ， 客 户 并 不 希望 目 己 站 点 间 
相互 通信 的 数据 在 MPLS VPN 网 络 中 被 骏 露 , 标签 化 的 数据 交互 过 程 起 到 一 定 的 安全 作 
用 , 它 使 得 共享 式 的 MPLS VPN 网 络 能 够 允许 大 量 的 客户 同时 接 入 ,这些 客户 的 数据 不 
会 在 服务 提供 商 的 网 络 内 出 现 神 突 或 者 紊乱 。 

在 MPLS VPN 架构 中 ， 存 在 四 种 典型 的 设备 : 

1. PE (Provider Edge， 服 务 提 供 商 边界 ) 设备 

PE 设备 是 服务 提供 商 MPLS VPN 上 骨干 网 络 的 边界 设备 ， 该 设备 一 方面 接 入 MPLS 
VPN 骨干 网 络 ， 男 一 方面 为 不 同 的 客户 提供 VPN 接 入 服务 。PE 设备 是 整个 MPLS VPN 
架构 中 非常 关键 的 一 环 ， 它 直接 与 客户 的 边缘 设备 对 接 ， 通 过 与 客户 设备 之 间 运 行 的 动 
态 路 由 协议 (或 静态 路 由 ) 交互 客户 的 路 由 。 由 于 需要 同时 为 不 同 的 客户 提供 服务 ，PE 
设备 必须 实现 不 同 客 户 间 路 由 的 完全 隔离 。VRF (Virtual Routing and Forwarding， 虚 拟 
路 由 转发 ) 被 部 署 在 PE 设备 上 ， 用 于 实现 客户 的 路 由 及 数据 的 隔离 。 

另外 , 由 于 要 负责 将 客户 的 路 由 从 一 个 站 点 路 越 MPLS VPN 骨干 网 络 运载 到 另 一 个 
站 点 7 因此 PE 设备 必须 使 用 一 个 特殊 的 动态 路 由 协议 , 该 路 由 协议 要 能 够 在 MPLS VPN 
场景 中 承载 大 批量 的 客户 路 由 ， 并 且 文 持 丰 富 的 路 由 属性 ， 以 及 拥有 灵活 的 路 由 策略 工 
具 ， 显 然 ， 这 么 重要 的 工作 几乎 只 有 BGP 能 够 胜任 。 当 然 ， 传 统 的 BGP 无 法 完全 承担 
这 个 重担 ， 需 要 对 它 进 行 扩 展 ， 以 便 它 能 够 在 MPLS VPN 中 满足 相应 的 要 求 。 扩 展 后 的 
BGP 被 称 为 MP-BGP (Multiprotocol-Border Gateway Protocol， 多 协议 BGP)，MP-BGP 
在 传统 的 BGP 基础 之 上 实现 了 IPv6、VPNv4、VPNv6 等 路 由 的 运载 能 力 。 在 MPLS VPN 
架构 中 ，PE 设备 需要 与 远 端 PE 设备 或 某 些 P 设备 维护 MP-BGP 对 等 体 关系 ， 从 而 交互 
VPNv4 路 由 〈 注 : VPNv4 路 由 的 概念 将 在 “MPLS VPN 概述 ”一 市 中 介绍 )。 

2. P (Provider， 服 务 提 供 商 ) 设备 

P 设 备 是 服务 提供 商 MPLS VPN 骨干 网 中 的 设备 ,它们 并 不 连接 CE 设备。 在 图 13-32 
中 ,我们 仪 仪 看 到 两 台 P 路 由 器 ， 这 当然 是 做 了 极 大 简化 的 ， 在 实际 的 服务 提供 商 网 络 
中 ，P 设备 的 数量 往往 是 非常 庞大 的 。 

P 设备 最 重要 的 功能 之 一 就 是 负责 转发 标签 报 文 ， 它 们 将 标签 报 文 沿 看 标签 分 发 协 
议 建立 好 的 LSP 进行 转发 。P 设备 并 不 参与 客户 的 路 由 交互 ， 而 仅仅 聚焦 报 文 快速 转发 
过 程 ， 在 它们 的 路 由 表 中 ， 通常 不 会 存在 客户 的 路 由 ， 而 仅 仪 存在 MPLS VPN 骨干 网 络 
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内 部 的 路 由 ， 这 使 得 设备 的 路 由 表 更 加 精简 。 

3. CE (Customer Edge， 客 户 边 界 ) 设备 

CE 设备 是 客户 的 设备 ， 而 且 是 客户 网 络 的 边界 设备 ， 该 设备 被 用 于 跟 服 务 提 供 商 
的 PE 设备 对 接 。 作 为 CE 设备 , 它 目 己 当 然 拥 有 到 达 本 站 点 内 网 的 路 由 信息 ， 一 个 典型 
的 场景 是 , CE 设备 与 PE 设备 之 间 运 行 一 个 动态 路 由 协议 , 例如 OSPF、IS-IS, 或 者 BGP 
等 , CE 设备 通过 该 动态 路 由 协议 将 站 点 路 由 通告 给 PE 设备 , 由 PE 设备 通过 MPLS VPN 
网 络 将 路 由 传递 到 远 端 站 点 的 CE 设备 ;另外 ，CE 设备 也 通过 该 动态 路 由 协议 从 PE 区 
备 学 习 到 达 远 端 站 点 的 路 由 。 

4. C (Customer， 客 户 ) 设备 

C 设备 是 客户 网 络 内 的 设备 ， 与 CE 设备 不 同 ，C 设备 不 与 PE 设备 直接 相连 ， 它 在 
MPLS VPN 中 并 不 扮演 实质 性 的 角色 ， 只 在 客户 网 络 中 实现 数据 通信 。 


13.3.2 MPLS VPN 概述 


图 13-33 展示 了 MPLS VPN 的 典型 应 用 场景 。 某 服务 提供 商 搭建 了 一 个 MPLS VPN 
网 络 ， 用 于 加 不 同 的 客户 提供 VPN 服务 ， 使 得 客户 的 路 由 能 够 通过 该 网 络 进行 传递 ， 传 
递 的 过 程 完全 隔离 、 互 不 影响 ， 而 同一 个 客户 不 同 站 点 间 互 相通 信 的 数据 也 能 够 通过 该 
网 络 进行 传输 ， 不 同 客户 的 数据 在 MPLS VPN 网 络 中 完全 阳 离 。 客 户 A 及 客户 B 各 有 
两 个 站 点 ， 现在， 这 两 个 客户 都 租用 了 该 服务 提供 商 的 MPLS VPN 线路 ， 客 户 期 望 将 日 
己 的 两 个 站 点 网 络 连 接 起 来 。 
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图 13-33 ”典型 的 MPLS VPN 应 用 场景 


以 客户 A 为 例 , 它 希望 自己 的 站 点 1 及 站 点 2 的 路 由 能 通过 服务 提供 商 的 MPLS VPN 
网 络 进行 交互 ,并且 两 个 站 点 能 利用 MPLS VPN 网 络 实现 数据 互通 ,从 路 由 的 角度 看 (以 
站 点 1 到 站 点 2 的 路 由 传递 过 程 为 例 )， 站 点 1 的 CE 设备 将 到 达 本 站 点 的 路 由 通告 给 
MPLS VPN 网 络 (的 PE 设备 )， 而 MPLS VPN 网 络 负责 将 该 路 由 传递 给 客户 A 的 站 点 
2 的 CE 设备 ， 换 名 话说 ， 客 户 需 要 将 自己 的 路 由 信息 交付 给 服务 提供 商 ， 由 服务 提供 
商 负责 实现 站 点 间 路 由 的 传递 ， 如 图 13-34 所 示 。 

当然 ， 实 现 路 由 交互 的 最 终 目的 是 为 了 实现 站 点 间 数 据 的 交互 ， 客 户 A 站 点 2 的 CE 
设备 作为 本 站 点 连接 MPLS VPN 线路 的 出 口 设备 ， 负 责 将 本 站 点 发 往 站 点 1 的 流量 送 入 
MPLS VPN 网 络 ， 而 MPLS VPN 网 络 则 负责 将 这 些 流量 转发 到 站 点 1， 如 图 13-35 所 示 。 
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图 13-34 ”站 点 间 的 路 由 通过 MPLS VPN 网 络 实现 交互 





CE 
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0 客户 B 站 点 2 
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图 13-35 ”站 点 间 通 过 MPLS VPN 网 络 实现 数据 互通 


由 于 服务 提供 商 的 MPLS VPN 网 络 是 一 个 公共 网 络 , 因此 同一 时 间 可 能 存在 大 量 的 
客户 接 入 到 该 网 络 中 ， 如 何 实现 客户 的 路 由 及 数据 隔离 , 是 MPLS VPN 整体 设计 需要 关 

在 图 13-36 中 ， 服 务 提供 商 的 MPLS VPN 网 络 也 被 呈现 了 出 来 ， 大 家 能 从 图 中 看 到 
PE 及 PP 设备。 简单 起 见 ， 本 书 极 大 地 简化 了 整个 网 络 。 接 下 来 按照 从 左 往 右 的 方向 来 解 
读 路 由 传递 过 程 。 
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图 13-36 ” MPLS VPN 概述 
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以 客户 A 的 站 点 1 为 例 ， 该 站 点 内 可 能 已 经 部 署 了 IGP 协议 ， 例 如 OSPF，CEI1 通 
过 站 点 内 运行 的 IGP 协议 学 习 到 去 往 本 站 点 各 网 段 的 路 由 ， 为 了 让 站 点 2 的 设备 能 够 获 
知 到 达 本 站 点 的 路 由 ，CE1 需要 将 本 站 点 的 路 由 通告 到 对 端 (CE2)。 租 用 了 服务 提供 商 
的 MPLS VPN 线路 后 ， 站 点 1 的 CE1 会 首先 将 本 站 点 的 路 由 通告 给 其 直 连 的 PE1。 





Ez 设备 与 PE 设备 之 间 可 以 运行 一 个 动态 路 由 协议 来 交互 客户 路 由 ,例如 OSPF、 
IS-IS 或 者 BGP 等 ，PE 设备 通过 该 路 由 协议 学 习 客 户 的 路 由 。 当 然 在 某 些 场景 中 ，PE 
设备 甚至 可 以 直接 配置 到 达 客 户 站 点 的 静态 路 由 。 无 论 通过 何 种 方式 ， 必 须 让 PE 设备 
知晓 其 直 连 客户 的 客户 路 由 。 客 户 之 间 是 完全 独立 的 , PE 设备 可 以 根据 客户 的 需求 ， 灵 
活 地 选择 “PE-CE 间 的 路 由 交互 方式 。 当 然 ， 同 一 个 客户 的 不 同 站 点 也 可 选用 不 同 的 
“PE-CE 间 的 路 由 交互 方式 ” ， 例 如 客户 A 站 点 1 的 CE 设备 采用 OSPF 与 直 连 的 PE 设 
备 交 互 路 由 ， 而 客户 A 站 点 2 的 CE 设备 则 采用 BGP 与 直 连 的 PE 设备 交互 路 由 。 


现在 第 一 个 问题 来 了 , 由 于 PE 设备 直接 面 对 不 同 客户 的 CE 设备 , 而 且 又 需要 从 这 
些 CE 设备 学 习 客 户 路 由 ， 那 么 PE 设备 如 何 区 分 并 隔离 不 同 客户 的 路 由 呢 ? 设想 一 下 ， 
如 果 客 户 A 的 站 点 1 使 用 了 10.1.1.0/24 网 段 , 而 恰巧 客户 B 的 站 点 1 也 使 用 了 相同 的 网 
段 ， 如 图 13-37 所 示 ， 那 么 PE1 将 从 这 两 个 不 同 的 客户 那里 都 学 习 到 10.1.1.0/24 路 由 ， 
它 该 如 何 解 决 路 由 冲突 的 问题 ? 这 就 要 提 到 MPLS VPN 中 的 一 个 重要 组 件 VRF (Virtual 
Routing and Forwarding， 虚 拟 路 由 转发 ) 了 ， 在 华为 路 由 器 上 ，VRF 也 被 称 为 VPN 实 
例 (VPN Instance)。 一 个 VRF， 可 以 简单 地 理解 为 “一 台 虚 拟 设 备 ” 在 PE1 上 创建 两 
个 VRF 后 ，PE1 便 可 以 同时 面向 客户 1 及 客户 2 提供 服务 。 这 两 个 VRF 相当 于 两 台 虚 
拟 设 备 ， 它 们 各 目 拥 有 独立 的 路 由 表 、FIB 表 、 动 态 路 由 协议 进程 以 及 接口 等 等 ， 由 于 
两 人 台 虚 拟 设 备 完 全 独立 ， 因 此 即使 分 别 从 两 个 不 同 的 客户 那里 学 习 到 目的 网 络 地 址 及 网 
络 掩 人 码 相 同 的 路 由 也 不 用 担心 出 现 冲 突 。 
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192.168.2.0/24 


13-37 客户 A 站 点 1、 客 户 B 站 点 1 的 CE 设备 将 本 站 点 路 由 通告 给 PE1 
接 下 来 要 考虑 的 是 客户 路 由 传递 的 问题 。 如 何 将 客户 路 由 从 一 个 站 点 传递 到 该 客户 
的 为 一 个 站 点 ?实际 上 从 客户 的 角度 看 ， 其 某 个 站 点 路 由 是 交付 给 该 站 点 直 连 的 PE 设 


备 ， 青 从 为 一 个 站 点 直 连 的 PE 设备 上 获取 的 ， 因 此 从 这 个 层面 看 ， 客 户 路 由 最 终 需 要 
从 一 合 PE 设备 传递 到 为 一 台 PE 设备 。 当 然 ， 选 择 一 个 动态 路 由 协议 来 实现 客户 路 由 传 
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递 是 一 个 最 佳 的 解决 方案 。 在 典型 的 MPLS VPN 架构 中 ，BGP 是 在 MPLS VPN 骨干 网 
络 中 用 于 实现 客户 路 由 传递 的 不 二 选择 。BGP 可 承载 大 批量 的 路 由 前 级 ， 被 广泛 应 用 于 
各 种 大 型 的 网 络 。 另 外 ，BGP 还 文 持 丰富 的 路 径 属 性 ， 在 路 由 策略 方面 也 拥有 时 越 的 能 
力 。 而 且 ，BGP 还 有 一 个 非常 突出 的 优势 ， 那 就 是 它 是 基于 TCP 工作 的 ， 与 OSPF 等 路 
由 协议 不 同 ， 建 立 对 等 体 关 系 的 BGP 设备 无 需 直 连 ， 因 此 在 本 例 中 ， 服 务 提 供 商 可 以 在 
PE1 及 PE2 之 间 直 接 建立 BGP 对 等 体 关 系 ， 如 此 一 来 ， 客 户 的 路 由 即 可 直接 在 PE1 及 
PE2 之 间 通 过 BGP 会 话 进行 传递 ， 而 服务 提供 商 骨 干 网 络 中 的 P 设备 则 无 需 运 行 BGP。 
由 于 P 设备 无 需 运 行 BGP， 因 此 这 些 P 设备 不 会 维护 客户 的 路 由 ， 而 仅 需 维护 骨干 网 络 
内 部 的 路 由 ， 这 样 设备 的 路 由 表 可 以 保持 精简 ， 设 备 的 转发 性 能 得 以 大 大 提高 。 

当然 ， 为 了 让 PE1 及 PE2 能 够 顺利 地 建立 起 BGP 对 等 体 关 系 ， 服 务 提供 商 需要 首 
先 实现 MPLS VPN 骨干 网 络 内 部 的 路 由 互通 ， 使 得 PE1 与 PE2 互 访 的 流量 能 够 到 达 对 
方 , 注意 ， 在 此 过 程 中 必须 要 将 MPLS VPN 骨干 网 内 的 路 由 与 客户 路 由 进行 区 分 ， 实际 
上 ,两 者 必须 是 完全 隔离 的 。 在 MPLS VPN 骨干 网 络 内 的 P 及 PE 设备 上 部 署 IGP 协议 
(一 般 会 选择 OSPF 或 IS-IS)， 即 可 实现 骨干 网 络 内 的 路 由 互通 ， 从 而 为 BGP 会 话 的 建 
立 做 好 铺垫， 更 为 后 续 的 站 点 间 数 据 传输 做 好 铺垫 。 

现在 PE1 及 PE2 之 间 建 立 了 BGP 对 等 体 关 系 , 以 PE1 为 例 , 它 可 将 目 己 通过 PE-CE 
间 所 运行 的 路 由 协议 学 习 到 的 客户 路 由 通过 BGP 通告 给 PE2， 如 图 13-38 所 示 。 此 时 又 
出 现 了 一 个 号 待 解决 的 问题 ,在 PE 设备 上 ，VREF 被 用 于 实现 客户 路 由 隔离 并 解决 IP 地 
址 空间 冲突 的 问题 , 但 是 当 PE 设备 使 用 BGP 来 传递 客户 的 路 由 时 ，BGP 如 何 对 所 运载 
的 路 由 进行 区 分 ? 当 不 同 的 客户 使 用 了 相同 的 IP 地 址 空间 时 如 何 保证 路 由 不 发 生 冲 
突 ? MPLS VPN 引入 了 RD (Route Distinguisher， 路 由 区 分 码 ) 用 于 解决 该 问题 。 关 于 
RD， 本 书 将 在 后 续 的 小 节 中 详细 介绍 ,， 现 阶段 读者 只 需 知 道 它 的 主要 作用 是 确保 使 用 相 
同 IPv4 地 址 空间 的 客户 的 路 由 在 MPLS VPN 网 络 中 传递 时 不 会 出 现 冲突 即 可 。 要 解决 
路 由 冲突 的 问题 ， 就 必须 对 IPv4 路 由 前 级 做 扩展 。MPLS VPN 采用 RD 对 IPv4 路 由 前 
级 进行 扩展 , 简单 地 说 , 就 是 在 32bit 的 IPv4 路 由 前 绥 的 基础 之 上 增加 一 个 64bit 的 RD， 
从 而 形成 96bit 的 VPN-IPv4 路 由 前 级 (我 们 也 将 该 路 由 前 级 简称 为 YPNv4 路 由 前 级 )。 
一 个 关于 VPNv4 路 由 的 例子 是 64519:100:172.16.18.0/24, 其 中 172.16.18.0 为 IPv4 地 址 ， 
而 64519:100 为 RD 值 。 
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图 13-38 在 PE1 与 PE2 之 间 建 立 BGP 对 等 体 关 系 
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过 本 统 的 BGP 无 法 运载 VPNv4 路 由 ， 因 此 MP-BGP (Multi-Protocol BGP， 多 协议 
BGP) 便 被 派 上 了 用 场 。MP-BGP 也 被 称 为 基于 BGPv4 的 多 协议 扩展 ， 传 统 的 BGP 只 
能 运载 IPv4 路 由 前 级 ,而 MP-BGP 则 可 以 支持 包括 VPN-IPv4、IPv6 等 在 内 的 多 种 路 由 
前 级 。 于 是 ， 此 时 在 PE1 及 PE2 之 间 所 建立 的 BGP 会 话 便 不 再 是 传统 的 BGP 会 话 ， 而 
是 激活 了 VPNv4 路 由 运载 能 力 的 BGP 会 话 。 基 于 该 BGP 会 话 所 传递 的 BGP 路 由 前 级 
不 是 IPv4 单 播 路 由 前 级 ， 而 是 VPNv4 路 由 前 级 。 


在 图 13-39 中 ，PE1 通过 PE-CE 间 的 路 由 协议 分 别 学 习 到 客户 A 站 点 1 及 客户 B 站 
点 1 的 路 由 ， 它 通过 不 同 的 VRF 来 区 分 不 同 客户 的 路 由 。 接 下 来 ，PE1 将 这 两 个 客户 的 
路 由 引入 MP-BGP， 从 而 形成 YPNv4 路 由 。 两 个 不 同 的 RD 被 分 别 附 加 到 了 这 两 条 路 由 
前 级 前 面 ， 这 就 形成 了 两 条 VPNv4 路 由 ,由 于 VPNv4 路 由 前 级 多 了 RD 这 么 一 个 信息 ， 
因此 即使 两 个 客户 的 IPv4 地 址 空间 相同 ， 它 们 对 应 的 VPNv4 路 由 也 不 会 存在 冲突 的 情 
况 。 客 户 A 站 点 1 的 10.1.1.0/24 路 由 被 PE1 引 入 MP-BGP 时 ,PE1 为 该 路 由 附 上 64519:100 
的 RD 值 ， 从 而 形成 VPNv4 路 由 64519:100:10.1.1.0/24， 而 客户 B 站 点 1 的 10.1.1.0/24 
路 由 被 PE1 引入 MP-BGP 时 , 它 为 该 路 由 附 上 男 一 个 RD 值 64520:200, 从 而 形成 VPNv4 
路 由 64520:200:10.1.1.0/24。 由 于 RD 值 各 不 相同 ， 因 此 这 是 两 条 不 同 的 VPNv4 路 由 。 


ee ee、 
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站 点 
10.1.1.0/24 和 Bz 路 由 64520:200:10.1.1.0/24 192.168.2.0/24 





图 13-39 RD 值 的 作用 


现在 ，PE1 将 这 两 条 VPNv4 路 由 通过 MP-BGP 通告 给 了 PE2， 后 者 则 负责 在 收 到 
VPNv4 路 由 后 ， 将 该 路 由 附加 的 RD 移 除 ， 然 后 将 IPv4 路 由 前 级 通过 PE-CE 间 所 运行 
的 路 由 协议 通告 给 相应 客户 的 CE 设备 。PE2 为 了 在 本 地 实现 不 同 客户 的 隔离 ， 也 部 署 
了 VRF， 通 过 不 同 的 VRF 为 不 同 的 客户 提供 服务 。 

此 时 又 有 一 个 问题 暴露 在 我 们 面前 : PE2 从 PE1 收 到 路 由 后 ， 该 如 何 决定 将 哪些 路 
由 注入 本 地 的 哪 一 个 VRF 呢 ? MPLS VPN 使 用 一 种 特殊 的 数值 来 控制 客户 路 由 的 发 布 
及 接收 ， 它 就 是 RT (Route Target， 路 由 目标 )，RT 也 被 称 为 YPN Target。 一 个 RT 的 长 
度 为 32bit， 一 条 VPNv4 路 由 可 以 包含 一 个 或 多 个 RT。RT 与 VPNv4 路 由 一 起 被 传递 给 
远 端 PE， 它 承载 在 BGP 扩展 Community 属性 中 。 如 图 13-40 所 示 ， 服 务 提 供 商 在 PE1 
上 为 不 同 的 VRF 设置 不 同 的 Export RT( 出 站 RT), 为 服务 于 客户 A 的 VRF 配置 的 Export 
RT 是 64519:1， 而 为 服务 于 客户 B 的 VRF 配置 的 Export RT 是 64520:2， 如 此 一 来 ， 当 
PE1 将 客户 A 的 路 由 引入 MP-BGP 中 形成 VYPNv4 路 由 时 ， 路 由 被 附加 扩展 Community 
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属性 (RT)， 属 性 值 写 入 64519:1， 当 该 VPNv4 路 由 通过 MP-BGP 传递 给 PE2 时 ， 扩 展 
Community 属性 会 被 一 并 携带 。 同 理 , PE1 将 客户 B 的 路 由 引入 MP-BGP 中 形成 YPNv4 
路 由 时 ， 路 由 也 被 附加 扩展 Community 属性 (RT)， 属 性 值 写 入 64520:2， 当 该 VPNv4 
路 由 通过 MP-BGP 传递 给 PE2 时 ， 扩 展 Community 属性 也 会 被 一 并 携带 。 这 两 条 携带 
看 RT 的 路 由 被 传递 给 了 PE2， 后 者 可 根据 本 地 配置 的 Import RT〈( 入 站 RT) 来 决定 将 
所 接收 的 客户 路 由 发 布 到 本 地 的 哪 一 个 VRF 中 , 例如 将 RT 为 64519:1 的 BGP 路 由 发 布 
到 为 客户 A 服务 的 本 地 VRF 中 ， 进 而 将 这 些 路 由 通过 PE-CE 间 的 路 由 协议 通告 给 客户 
A 站 点 2 的 CE2， 而 将 RT 为 64520:2 的 BGP 路 由 发 布 到 为 客户 B 服务 的 本 地 VREF 中 ， 
进而 将 这 些 路 由 通过 PE-CE 间 的 路 由 协议 通告 给 客户 B 站 点 2 的 CE4。 


一 一 -一 一 -一 一 一 -一 一 一 一 一 一 -一 
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图 13-40 ”RT 的 作用 





到 目前 为 止 ， 客户 A 站 点 1 的 路 由 已 经 顺利 通过 MPLS VPN 网 络 传递 到 了 客户 A 
站 点 2， 客 户 B 的 路 由 也 完成 了 传递 过 程 。 实 际 上 ， 以 上 只 是 解决 了 路 由 层面 的 问题 ， 
路 由 学 习 到 了 ， 数 据 就 能 被 正常 转发 吗 ? 设想 一 下 ， 此 时 CE2 已 经 获知 了 到 达 站 点 1 的 
路 由 ; 若 它 把 去 往 10.1.1.0/24 的 下 报 文 发 送 给 PE2， 那么 后 者 该 如 何 处 理 这 些 报 文 ? 姑 
日 不 考虑 其 他 ， 如 果 PE2 直接 将 报 文 转发 出 去 ， 那么 报 文 势必 在 相 邻 的 第 一 台 P 设备 处 
就 被 丢弃 ， 因 为 P 设备 并 不 维护 客户 路 由 。 

一 个 解决 方案 逐渐 在 我 们 脑海 中 浮现 出 来 ， 为 什么 不 采用 标签 来 转发 数据 呢 ? 对 于 
客户 而 言 ， 报 文 经 由 CE 设备 转发 给 了 直 连 的 PE 设备 ， 而 后 者 负责 将 报 文 转 发 到 远 端 
PE 设备 ，MPLS VPN 骨干 网 络 希 要 考虑 如 何 将 报 文 顺利 地 从 一 台 PE 设备 转发 到 男 一 台 
PE 设备 ， 而 且 需 在 沿途 的 P 设备 并 不 维护 关于 目的 耳 地址 的 路 由 的 情况 下 实现 这 个 需 
求 。 利 用 MPLS 技术 ， 采 用 标签 来 转发 这 些 报 文 是 一 个 绝 佳 的 解决 方案 。 

以 图 13-41 为 例 ， 服 务 提供 商 在 MPLS VPN 骨干 网 络 中 的 设备 上 激活 了 MPLS 及 
LDP， 并 且 在 设备 间 建 立 了 LDP 对 等 体 关 系 。 由 于 此 前 服务 提供 商 已 经 在 MPLS VPN 
骨干 网 络 中 部 署 了 IGP 协议 , 因此 LDP 对 等 体 关 系 的 建立 , 以 及 针对 骨干 网 络 内 部 的 路 
由 前 级 的 标签 分 发 操作 可 以 顺利 进行 。 以 PE1 为 例 ， 骨 干 网 络 内 的 设备 能 借助 IGP 协议 
获知 到 达 该 设备 的 路 由 ,然后 为 该 路 由 分 配 标签 , 一 条 关于 PE1 直 连 路 由 的 LSP 得 以 建 
并 ， 沿 看 该 条 LSP， 设 备 能 够 将 标签 报 文 转发 到 PE1。 如 图 13-42 所 示 ， 由 于 LDP 已 经 
为 到 达 PE1 的 路 由 分 配 好 了 标签 ， 因 此 PE2 转发 到 达 客 户 A 站 点 1 的 10.1.1.0/24 网 段 
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的 报 文 时 ， 便 可 将 报 文 压 入 一 个 标签 头 部 ， 使 用 的 标签 值 是 下 游 P 设备 为 到 达 PE1 的 路 
由 所 分 配 的 标签 1082。 下 游 P 设备 收 到 标签 报 文 后 ， 将 报 文 的 标签 进行 置换 ， 然 后 继续 
回 下 游 转 发 该 报 文 ， 直 至 报 文 到 达 PE1。 


MPLS VPN 骨干 网 络 
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图 13-41 在 MPLS VPN 骨干 网 络 中 部 团 LDP 









oma mp 


及 有 





一 一 一 一 上 一 一 一 一 一 一 一 一 
LDP 标签 映射 LDP 标签 映射 LDPP 标签 映射 
到 达 PE1 的 路 由 到 达 PE1 的 路 由 到达 PE1 的 路 由 


B 站 点 1 
客户 B 站 点 标签 : 1059 标签 : 1072 标签 : 1082 


10.1.1.0/24 192.168.2.0/24 


-一 ”一 一 一 一 一 一 一 一 -一 一 -一 


去 往 客 户 A 站 点 1 10.1.1.0/24 网 段 的 IP 报 文 
图 13-42 ”PE2 利用 LDP 建立 好 的 LSP 将 报 文 转 发 到 PEl 


时 以 上 描述 的 过 程 忽略 了 了 PHP 特性 。 


现在 ，PE1 收 到 了 这 个 标签 报 文 ， 接 下 来 它 的 操作 自然 是 将 报 文 的 标签 头 部 弹出 ， 
然后 将 报 文 路 由 到 目的 地 。 这 里 还 有 一 个 问题 : PE1 该 把 报 文 转发 给 CE1 还 是 CE3? 它 
无 法 判断 该 报 文 究竟 是 发 往 哪 一 个 客户 的 〈 报 文 归 属 哪 一 个 VRF )。 

在 典型 的 MPLS VPN 架构 中 , 报 文 在 MPLS VPN 骨干 网 络 内 转发 时 采用 两 层 标签 。 
如 图 13-43 所 示 ，PE2 转发 到 达 客 户 A 站 点 1 的 10.1.1.0/24 网 段 的 报 文 时 ， 将 报 文 压 入 
两 层 标签 ， 其 中 外 层 标签 〈 或 者 说 顶层 标签 ) 被 称 为 公 网 标签 ， 公 网 标签 由 LDP 分 发 ， 
用 于 将 报 文 转发 到 PE1。 内 层 标 签 〈 或 者 说 底层 标签 ) 被 称 为 私 网 标签 ， 私 网 标签 则 由 
MP-BGP 分 发 ， 用 于 将 报 文 在 PE1 上 对 应 到 具体 的 VRF， 或 者 某 一 个 直 连 的 CE 设备 。 
为 了 实现 私 网 标签 的 分 发 ，PE1 通过 MP-BGP 将 VPNv4 路 由 通告 给 PE2 时 ， 除 了 携带 
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该 路 由 的 RT， 还 会 将 其 为 该 路 由 所 分 配 的 私 网 标签 一 并 携带 。 
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图 13-43 ”采用 两 层 标签 转发 数据 


PE2 将 带 有 两 层 标签 的 报 文 转发 到 MPLS VPN 骨干 网 络 后 , 网 络 中 的 P 设备 根据 报 
文 的 公 网 标签 〈 外 层 标 签 ) 将 其 转发 到 PE1， 在 报 文 的 转发 过 程 中 ， 公 网 标签 被 逐 跳 修 
改 ， 但 是 私 网 标签 则 不 会 发 生 改 变 。PE1 收 到 报 文 后 ， 先 将 公 网 标签 弹出 ， 然 后 根据 内 
层 的 私 网 标签 将 该 报 文 对 应 到 本 地 的 VRF (由 于 该 私 网 标签 由 PE1 所 分 配 ， 因 此 它 知道 
这 个 标签 值 所 对 应 的 VRF), 最 后 将 私 网 标签 弹出 , 把 里 面 所 封装 的 IP 报 文 转发 给 CE1。 

综 上 所 述 ， 我 们 可 以 看 出 ， 一 个 典型 的 MPLS VPN 实现 ， 大 致 需要 如 下 组 件 。 

。 在 PE 设备 上 ， 使 用 VRF 来 区 分 不 同 的 客户 、 维 护 不 同 客户 的 路 由 。 

e。 在 PE 设备 上 ， 使 用 基于 VRF 的 路 由 协议 〈PE-CE 间 的 路 由 协议 ) 与 其 直 连 的 
CE 设备 交互 客户 路 由 。 

。 在 MPLS VPN 骨干 网 络 内 的 设备 上 (PE 设备 及 了 设备 ), 需要 运行 一 个 IGP 协议 ， 
通过 该 协议 实现 骨干 网 内 的 路 由 互通 。 

e。 在 PE 设备 之 间 ， 根 据 需要 建立 MP-BGP 会 话 ，PE 设备 将 自己 从 CE 设备 学 习 到 
的 路 由 引入 MP-BGP 形成 VPNv4 路 由 并 通告 给 远 端 PE 设备 ， 并 且 将 其 从 远 端 PE 设备 
所 学 习 到 的 VPNv4 路 由 注入 本 地 相应 的 VRF 中 ， 从 而 通过 PE-CE 间 的 路 由 协议 将 客户 
路 由 通告 给 本 地 直 连 的 CE 设备 。 

。 为 了 让 客户 的 数据 能 够 穿越 MPLS VPN 骨干 网 络 ， 需 要 上 骨干 网 络 的 PE 设备 及 了 
设备 都 激活 MPLS 及 标签 分 发 协议 (通常 是 LDP)。 


13.3.3 ”虚拟 路 由 转发 实例 


在 MPLS VPN 中 ， 不 同 客户 的 路 由 及 数据 可 以 在 同一 台 PE 设备 上 被 处 理 ， 而 且 这 
些 客 户 路 由 和 数据 又 是 完全 隔离 和 相互 独立 的 , 即使 不 同 的 客户 使 用 了 相同 的 IP 地 址 空 
间 也 不 存在 冲突 的 问题 ， 这 得 益 于 PE 设备 上 的 一 项 关键 技术 一 一 虚拟 路 由 转发 。 

VRF (Virtual Routing and Forwarding， 虚 拟 路 由 转发 ) 是 MPLS VPN 架构 中 的 关键 
技术 ， 是 一 种 类 似 设 备 虚拟 化 的 概念 。VRF 是 对 物理 设备 的 一 个 逻辑 划分 ， 通 过 部 署 
VRF， 我 们 可 以 在 一 台 物 理 设 备 〈 例 如 路 由 器、 交换 机 或 防火 墙 等 ， 当 然 ， 前 提 是 设备 
文 持 相 应 的 功能 ) 上 创建 多 台 虚 拟 设 备 (或 者 称 为 虚拟 路 由 转发 实例 ), 每 台 虚 拟 设备 就 
像 一 台独 立 的 设备 一 样 工 作 。 每 台 虚 拟 设 备 拥 有 独立 的 路 由 表 、 独 立 的 FIB 表 、 独 立 的 
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动态 路 由 选择 进程 及 专属 于 该 实例 的 接口 等 。 利 用 VRF， 可 以 实现 路 由 、 数 据 或 业务 的 
隔离 。 在 MPLS VPN 中 ，VREF 使 得 服务 提供 商 在 同一 台 PE 设备 上 能 够 同时 为 多 个 客户 
提供 VPN 接 入 服务 。 





E> VRF 在 MPLS VPN 中 有 着 关键 的 应 用 ， 而 在 企业 网 络 中 ， 它 也 经 常 脱 离 MPLS 
VPN， 被 广泛 应 用 于 实现 数据 或 业务 的 隔离 ， 也 就 是 说 ， 可 以 只 利用 其 虚拟 化 实例 的 特 
性 ， 在 网 络 设备 上 进行 业务 或 数据 隔离 ， 关 于 这 部 分 内 容 ， 本 书 将 在 “VRF Lite ”一 节 
中 介绍 。 


在 华为 数 通 产品 上 ，VREF 也 被 称 为 VPN 实例 (VPN Instance)。 缺 省 时 ， 一 个 网 络 
设备 的 所 有 接口 〈 例 如 路 由 器 及 防火 墙 的 三 层 接口 或 子 接口 ， 或 三 层 交 换 机 的 VLANIF 
等 ) 都 属于 同一 个 转发 实例 一 一 设备 的 根 实例 ， 或 者 说 属于 根 设 备 。 如 果 在 网 络 设 备 上 
创建 了 一 个 VRF， 那 么 就 等 于 拥有 了 一 台 虚 拟 设 备 ， 我 们 可 以 将 特定 的 接口 分 配给 该 
VRF， 如 此 一 来 ， 该 接口 便 从 根 设备 脱离 并 专门 服务 于 这 个 VRF。 每 个 VRF 使 用 独立 
于 根 设备 的 路 由 表 、FIB 表 等 , 它们 存在 于 不 同 的 数据 转发 平面 , 这 使 得 设备 在 某 个 VRF 
的 接口 上 接收 的 流量 ， 不 会 被 转发 到 其 他 VRF 或 者 根 实例 。 

图 13-44 形象 地 展示 了 一 台 PE 设备 的 “内 部 逻辑 结 构 ”， 该 PE 设备 的 GE0/0/1 接 
口 及 GE0/0/2 接口 分 别 连 接着 客户 A 及 客户 B 的 CE 设备 。 MPLS VPN 网 络 的 基本 功能 
便 是 帮助 客户 “运载 ”路 由 ， 要 实现 这 个 目的 ，PE 设备 就 需要 从 客户 处 获取 路 由 信息 ， 
然后 将 这 些 路 由 信息 注入 MPLS VPN 骨干 网 络 并 运载 到 同一 客户 的 其 他 站 点 。 缺 省 时 ， 
该 PE 设备 的 所 有 接口 均 属于 设备 的 根 实 例 ， 与 此 同时 ， 设 备 从 客户 A 及 客户 B 的 CE 
设备 学 习 到 的 路 由 都 会 被 加 载 到 全 局 路 由 表 中 。 设 想 一 下 ， 如 果 客 户 A 及 客户 B 恰巧 使 
用 了 相同 的 耳 地 址 空间 (实际 上 这 种 可 能 性 非常 高 )， 如 图 13-45 所 示 ， 客 户 A 及 客户 
B 都 使 用 了 172.16.1.0/24 网 段 ， 然后 客户 A 及 客户 B 的 CE 设备 都 将 172.16.1.0/24 路 由 
通告 给 PE 设备 ， 那 么 冲突 便 会 发 生 。 对 于 PE 设备 而 言 ， 它 将 无 法 区 分 这 两 条 路 由 ， 该 
PE 设备 会 根据 路 由 优先 级 或 度量 值 对 这 两 条 路 由 进行 优选 ， 这 显然 是 我 们 不 愿意 看 到 
的 。 当 然 ， 我 们 不 可 能 要 求 客户 使 用 不 存在 冲突 的 IP 地 址 空间 ， 因 为 客户 当然 有 权利 目 
行规 划 自 己 的 卫 网 络 。 





图 13-44 ”没有 部 署 VREF 之 前 


男 一 个 需要 格外 关注 的 问题 是 安全 问题 ， 即 使 客户 A 及 客户 B 没有 使 用 相同 的 IP 
地 址 空间 ， 由 于 PE 设备 将 在 自己 的 全 局 路 由 表 中 加 载 这 两 个 客户 的 路 由 ， 因 此 不 同 客 
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户 的 路 由 在 PE 设备 的 同一 个 路 由 转发 平面 将 实现 互通 ， 如 此 一 来， 客户 A 及 客户 B 的 
网 络 在 PE 设备 上 出 现 了 ee 一 个 客户 的 设备 可 以 通过 该 PE 设备 去 访问 男 一 个 客 
户 的 设备 ， 这 在 安全 上 显然 是 应 该 被 绝对 茶 止 的 。 
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图 13-45 客户 A 及 客户 B 使 用 了 相同 的 他 地 址 空间 


在 PE 设备 上 部 署 VRF， 即 可 完美 地 解决 上 述 问 题 。 在 PE 设备 上 针对 不 同 的 客 
户 部 署 不 同 的 VRF， 即 可 实现 对 客户 的 专 有 服务 ， 以 及 客户 的 路 由 及 数据 的 隔离 。 
如 图 13-46 所 示 ， 我 们 在 PE 上 创建 两 个 VRF: VRF A 及 VRF B， 分 别 对 应 客户 A 及 客 
户 B， 这 就 相当 于 在 PE 上 创建 了 两 台 虚 拟 设 备 。VRF A 及 VRF B 将 分 别 维护 各 目的 路 
由 表 、FIB 表 等 。 以 路 由 表 为 例 ，VRF A 的 路 由 表 、VRF B 的 路 由 表 及 PE 的 全 局 路 由 
表 均 是 完全 隔离 的 。 当 然 初 始 时 ， 这 两 台 虚 拟 设 备 没 有 任何 接口 资源 ， 因 此 它们 的 路 由 
表 此 时 也 是 空 的 。 将 PE 的 GE0/0/1 接口 分 配给 VRF A、 将 GE0/0/2 接口 分 配给 VRF B 
后 ，GE0/0/1 接口 的 直 连 路 由 将 出 现在 VRF A 的 路 由 表 中 ， 同 理 GE0/0/2 接口 的 直 连 路 
由 将 出 现在 VRF B 的 路 由 表 中 。PE 将 学 习 自 客户 A 的 路 由 加 载 到 VRF A 的 路 由 表 中 ， 
而 将 学 习 自 客户 B 的 路 由 加 载 到 VRF B 的 路 由 表 中 。 由 于 A、B 两 个 VRF 的 路 由 表 完 
全 独立 ， 因 此 即使 客户 A 与 客户 B 使 用 相同 的 IP 地 址 空间 ， 也 完全 不 同 担心 路 由 冲突 
的 问题 。 
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图 13-46 VREF 在 PE 上 的 部 署 


将 设备 的 接口 分 配给 相应 的 VRF 后 ， 接 下 来 要 考虑 的 就 是 如 何 让 PE 设备 获取 客户 
的 路 由 ，PE 设备 只 有 获取 了 客户 的 路 由 ， 并 将 其 加 载 到 相应 的 VRF 路 由 表 中 ， 才 能 进 一 
步 将 路 由 通过 MPLS VPN 骨干 网 络 运载 到 其 他 站 点 。 一 个 最 简单 的 方法 是 通过 于 工 配置 
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的 方式 为 VRF 添加 到 达 客 户 网 络 的 静态 路 由 。 为 了 将 静态 路 由 写 入 VRF 路 由 表 ， 而 不 是 
写 入 全 局 路 由 表 ， 我 们 需要 在 使 用 ip route-static 命令 配置 静态 路 由 时 增加 vpn-instance 
关键 字 并 指定 VRF 的 名 称 。 

除了 静态 路 由 ， 设 备 还 支持 将 动态 路 由 协议 进程 与 VRF 进行 关联 。 以 OSPF 为 例 ， 
缺 省 时 ， 在 设备 上 创建 的 OSPF 进程 是 与 该 设备 的 根 实例 关联 的 ， 我 们 只 能 在 该 OSPF 
进程 中 激活 根 设备 的 接口 ， 男 外 ， 设 备 通过 该 OSPF 进程 学 习 到 的 路 由 都 会 被 加 载 到 全 
局 路 由 表 中 。 在 设备 上 创建 了 VRF 之 后 ， 可 以 为 该 VRF 创建 专门 的 OSPF 进程 ， 在 创 
建 该 进程 时 ， 需 要 指定 其 所 关联 的 VRF 名 称 。 需 要 注意 的 是 ， 我 们 只 能 在 该 VRF OSPF 
进程 中 激活 所 关联 的 VRF 的 接口 ,而 设备 通过 该 OSPF 进程 所 学 习 到 的 OSPF 路 由 都 会 
被 加 载 到 该 VRF 的 路 由 表 中 。 在 图 13-47 中 ，PE 通过 GE0/0/1 接口 连接 着 客户 A， 它 
通过 该 接口 ， 并 使 用 与 VRF A 绑 定 的 OSPF 进程 与 客户 A 的 CE 设备 建立 了 OSPF 邻接 
关系 ， 如 此 一 来 ， 该 CE 设备 可 以 直接 通过 OSPF 将 客户 的 路 由 通告 给 PE， 而 PE 则 将 
这 些 路 由 加 载 到 VRF A 的 路 由 表 中 。 当 然 ， 动 态 路 由 协议 中 ， 除 了 OSPF 之 外 ，RIP、 
ISIS 等 路 由 协议 同样 支持 多 进程 ， 也 支持 将 路 由 进程 与 VRF 进行 关联 ， 而 BGP 当然 也 
是 文 持 多 路 由 进程 的 ， 只 不 过 它 是 采用 地 址 族 (Address Family) 实现 的 。 一 个 VRF 可 
以 同时 采用 静态 路 由 以 及 动态 路 由 协议 来 维护 自己 的 路 由 表 。 


OSPF 邻接 关系 aig | 
客户 A 的 CE 设备 二 eyes + GEO/O/1 VRFA 的 路 由 表 
172.16.1.0/24 | VRFA | 路 由 172.16.1.0/24 


mw 





客户 B 的 CE 设备 | | GE0/J02 | | “YRFB 的 路 由 家“ 
WE RNSS 
BGP 对 等 体 关 系 A i 
| PE | 全 局 路 由 表 


图 13-47 通过 基于 VRF 的 路 由 协议 与 客户 设备 交互 路 由 


13.3.4 ”深入 理解 PE 设备 


PE 设备 是 整个 MPLS VPN 解决 方案 中 非常 关键 的 一 环 , 很 多 技术 都 同时 在 PE 设备 
上 得 到 了 运用 ， 其 中 包括 VRF、IGP 协议 、MPLS、LDP、MP-BGP 等 ， 因 此 有 必要 和 针 
对 PE 进行 更 加 深入 地 介绍 。 图 13-48 从 逻辑 的 角度 展示 了 PE1 的 工作 模块 。 

(1) 在 本 例 中 ，PE1 连接 着 客户 A 及 客户 B 的 CE 设备 ，PE1 上 创建 了 两 个 VRF: 
A 及 B。 其 中 VRF A 为 客户 A 提供 服务 , 而 VRF B 为 客户 B 提供 服务 。 一 旦 这 两 个 VRF 
被 创建 ，PE1 将 为 它们 维护 独立 的 VRF 路 由 表 及 FIB 表 。PE1 上 连接 CE1 的 接口 被 分 
配给 了 VRF A, 连接 CE3 的 接口 被 分 配给 了 VRF B, 这 些 接口 的 直 连 路 由 将 分 别 出 现 在 
VRF A 及 VRF B 的 路 由 表 中 。 在 每 个 VRF 中 ，RD 及 RT 等 关键 参数 被 指定 。 

(2) 为 了 实现 客户 路 由 的 传递 ,， PE1 需 从 CE1 及 CE3 处 获取 客户 路 由 。 最 简单 的 方 
法 当然 是 在 PE1 的 VRF 路 由 表 中 手工 添加 静态 路 由 ， 当 然 在 绝 大 多 数 场景 中 ， 采 用 动 
态 路 由 协议 可 能 是 更 好 的 办 法 。PE-CE 之 间 可 以 选择 的 动态 路 由 协议 非常 多 ,例如 RIP、 
OSPF、1IS-IS 或 BGP 等 ， 需 注意 的 是 ，PE-CE 间 运 行 的 动态 路 由 协议 的 进程 必须 与 相 
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应 的 VRF 绑 定 ，PE1 将 其 从 CE1 及 CE3 学 习 到 的 客户 路 由 分 别 加 载 到 相应 的 VRF 路 
由 表 中 。 











i J 
客户 A CE] 客户 A CE2 
Cy | MPLS VPN 骨干 网 络 So 
客户 B CE3 客户 B CE4 


图 13-48 PE1 的 逻辑 结构 


(3) PE1 通过 属于 根 实例 的 接口 接 入 MPLS VPN 骨干 网 络 。 为 了 实现 骨干 网 络 内 的 
路 由 互通 ， 也 为 了 给 后 续 的 LDP 对 等 体 关 系 建立 、MP-BGP 对 等 体 关 系 建 立 及 LDP 标 
签 分 发 做 铺垫 ， 还 需要 在 骨干 网 络 中 的 P 及 PE 设备 上 运行 一 个 IGP 协议 ， 例 如 OSPF 
或 IS-IS 等 。 当 然 ， 对 于 PE 设备 而 言 ， 这 个 IGP 工作 在 其 根 实例 上 ，PE1 通过 该 路 由 协 
议 所 获取 的 路 由 信息 将 加 载 到 设备 的 全 局 路 由 表 中 。 

(4) 在 MPLS VPN 骨干 网 络 中 部 署 IGP 协议 后 ，PE1 便 拥 有 了 到 达 骨 干 网 络 内 各 个 
网 段 的 路 由 信息 。 接 下 来 PE1 与 PE2 之 间 将 建立 MP-BGP 对 等 体 关 系 。 客 户 的 路 由 得 
以 通过 这 个 MP-BGP 对 等 体 关 系 在 PE 设备 间 进 行 传递 。 

(5) PE1 通过 PE-CE 间 的 路 由 协议 学 习 CE1 及 CE3 所 通告 的 客户 路 由 ， 它 将 客户 
路 由 加 载 到 相应 的 VRF 路 由 表 中 , 此 时 这 些 路 由 在 VRF 路 由 表 中 的 形态 依然 是 IPv4 路 
由 ，PE1 需 将 这 些 路 由 引入 MP-BGP。 客 户 所 通告 的 IPv4 路 由 被 引入 MP-BGP 后 ，RD 
被 粘 附 到 了 该 路 由 前 缀 的 前 面 , 构成 VPNv4 路 由 前 级 ,PE1 将 VPNv4 路 由 通过 MP-BGP 
通告 给 PE2。 除 了 VPNv4 路 由 之 外 , 一 并 被 通告 的 还 有 该 条 路 由 的 其 他 BGP 路 径 属 性 ， 
其 中 包括 路 由 的 RT (使 用 BGP 的 扩展 Community 属性 存储 ) 以 及 Next Hop 属性 等 ， 
此 外 还 有 PE1 为 客户 路 由 所 分 配 的 私 网 标签 。 

(6) 为 了 确保 客户 的 不 同 站 点 间 相 互通 信 的 数据 可 通过 MPLS VPN 网 络 顺利 交互 ， 
MPLS VPN 上 骨干 网 络 中 的 设备 需 激 活 MPLS， 并 激活 LDP， 然 后 建立 LDP 对 等 体 关系 。 
由 于 在 此 之 前 骨干 网 络 中 已 经 完成 了 IGP 协议 的 部 署 并 实现 了 路 由 互通 , 因此 LDP 能 够 
为 骨干 网 络 内 的 路 由 顺利 地 分 配 标签 , 并 将 标签 映射 通告 给 其 他 LDP 对 等 体 ， 从 而 建立 
起 LSP。 我 们 已 经 知道 ， 在 典型 的 MPLS VPN 实现 中 ， 客 户 数据 在 进入 MPLS VPN 网 
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络 时 ， 入 站 PE 会 为 这 些 数据 压 入 两 层 标 签 ， 其 中 外 层 标 签 由 LDP 负责 分 发 ， 该 标签 用 
于 确保 客户 数据 能 够 从 本 地 站 点 直 连 的 PE 设备 转发 到 远 端 PE 设备 。 

(7) PE1 通过 MP-BGP 从 PE2 学 习 对 辣 通 告 过 来 的 VPNv4 路 由 。PE1 根据 这 些 路 
由 所 携带 的 RT 将 路 由 加 载 到 相应 的 VRF 路 由 表 中 ， 在 这 个 过 程 中 ，PE1 将 VPNv4 路 
由 的 RD 剥 除 ， 只 将 IPv4 路 由 写 入 VRF 路 由 表 。 最 后 ，PE1 通过 PE-CE 间 的 路 由 协议 ， 
将 远 站 站 点 的 客户 路 由 通告 给 CE1 或 CE3。 


13.3.5 RD 


在 MPLS VPN 的 典型 实现 中 ，PE 设备 所 连接 的 不 同 客户 都 是 相互 独立 的 ， 每 个 客 
户 都 能 目 主 地 规划 自己 的 网 络 ， 其 中 当然 也 包括 该 网 络 的 卫 编 址 。 既 然 是 自主 规划 ， 也 
就 完全 有 可 能 存在 多 个 客户 使 用 相同 IP 地址 空间 的 情况 。 当 然 ，PE 设备 势必 会 部 署 VRF， 
通过 不 同 的 VRF 对 不 同 的 客户 提供 服务 ， 实 现 路 由 及 数据 的 隔离 。 然 而 PE 设备 始终 是 
需要 将 客户 路 由 通过 BGP 通告 给 远 端 PE 设备 的 ， 远 端 PE 设备 接收 这 些 BGP 路 由 后 ， 
发 现 路 由 的 目的 网 络 地 址 及 掩 码 相同 ， 便 会 启动 路 由 优选 机 制 ， 最 终 这 些 路 由 中 只 有 一 
条 路 由 会 被 优选 ， 这 便 会 出 现 问题 。 

在 图 13-49 中 ，PE1 及 PE2 各 自 连 接着 一 个 客户 ， 这 两 个 客户 采用 相同 的 卫 地 址 空 
则 172.16.1.0/24, 现在 PE1、PE2 学 习 到 客户 路 由 后 ,通过 BGP 会 话 将 路 由 通告 给 了 PE3， 
如 此 一 来 , PE3 将 分 别 从 两 个 BGP 对 等 体 学 习 到 目的 网 络 地 址 及 掩 码 相同 的 BGP 路 由 ， 
PE3 便 会 执行 路 由 优选 ， 二 选 一 ， 最 终 只 有 一 条 路 由 会 被 优选 ， 另 一 条 则 不 被 使 用 ， 这 
显然 是 我 们 不 愿 看 到 的 。 


172.16.1.024_JE Bc 
路 由 


扩 客户 A 
172.16.1.0/24 , 


f 客户 A 







客户 B 


PP 客户 B ] 
172.16.1.0/24 | 
2 - > 


172.16.1.0/24 响 
图 13-49 ”传统 的 BGP 无 法 处 理 客户 路 由 冲突 的 问题 


要 解决 路 由 冲突 的 问题 ， 就 必须 对 IPv4 地 址 前 级 做 扩展 。MPLS VPN 采用 RD 
(Route Distinguisher， 路 由 区 分 码 ) 对 IPv4 地 址 前 缀 进行 扩展 。 如 图 13-50 所 示 ， 在 
IPv4 地 址 的 前 面 附 加 64bit 的 RD， 即 可 形成 96bit 的 VPN-IPv4 地 址 ， 我 们 也 将 该 地 
址 称 为 VPNv4 地 址 。 有 了 RD， 便 可 以 确保 相同 的 IPv4 路 由 在 MPLS VPN 网 络 中 不 
会 产生 冲突 。 
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一 一- 64bit 一 一 一 ooi -| 


人 
RD 值 IPv4 地 址 


图 13-$S0 RD 附加 在 IPv4 地 址 前 构成 96bit 的 VPNv4 地 址 


在 图 13-51 中 ，PE1 从 客户 A 学 习 到 的 是 IPv4 路 由 172.16.1.0/24， 它 将 该 路 由 加 载 
到 自己 的 VRF 路 由 表 中 ， 然 后 将 其 引入 MP-BGP， 在 这 个 过 程 中 ， 它 将 VRF 的 RD 附 
加 到 IPv4 路 由 前 级 的 前 面 ， 构 成 VYPNv4 路 由 ， 然 后 通过 MP-BGP 将 VPNv4 路 由 通告 
给 PE3，PE2 同 理 。PE3 收 到 VPNv4 路 由 后 ， 再 将 RD 值 移 除 ， 然 后 将 路 由 添加 到 相应 
的 VRF 路 由 表 中 ， 最 后 将 其 通告 给 直 连 的 CE 设备 。 








172.16.1.0/24 
gm IPv4 路 由 ~ 


A 


J Ee 


\172. 106.1. 024/ 


”em 
IPv4 路 由 
172.16.1.0/24 /ms 

13-51 PE1 及 PE2 将 IPv4 路 由 前 绥 转 换 成 VPNv4 路 由 前 级， 通过 MP-BGP 会 话 将 路 由 通告 出 去 


实际 上 ，RD 仅仅 是 一 个 数值 ， 该 数值 被 附加 在 IPv4 前 级 之 前 ， 构 成 全 局 唯一 的 
VPNv4 前 级 ， 从 而 在 MPLS 网 络 内 解决 IPv4 地 址 空间 冲突 的 问题 。 除 此 之 外 ，RD 并 不 
携带 其 他 信息 ， 例 如 RD 并 不 用 于 标识 该 路 由 的 起 源 VRF， 也 不 用 于 决定 将 该 路 由 注入 
哪 一 个 目标 VRF。 

PE 创建 VRF 时 就 需要 指定 该 VRF 的 RD。64bit 长 度 的 RD 值 实际 上 包含 3 个 字段 ， 
它们 分 别 是 Type( 类 型 ) 字段 、Administrator《〈 管 理 员 ) 字段 以 及 Assigned Number (分 
配 号 ) 字段 ， 如 图 13-52 所 示 。 其 中 Type 字段 的 长 度 是 固定 的 16bit， 而 其 他 两 个 字段 
的 长 度 则 与 Type 字段 的 取 值 有 关 。 此 外 ，Type 字段 的 取 值 还 决定 了 Administrator 字段 
所 表达 的 含义 ， 不 同 的 Type 字段 取 值 ， 对 应 不 同 含义 的 Administrator 字段 。RFC4364 
(BGP/MPLS IP Virtual Private Networks) 定义 了 3 个 Type 字段 值 。 

1. Type 字段 为 0 

当 Type 字段 为 0 时 ，Administrator 及 nig number 字段 的 长 度 分 别 为 16bit 及 
32bit。 其 中 Administrator 必须 包含 AS 号 ， 通 常 为 公有 AS 号 ， 也 就 是 必须 回 权 威 机 构 
申请 的 AS 编号 。 而 Assigned number 字段 则 由 该 AS 号 的 拥有 者 目 行 分 配 ， 如 图 13-53 
所 示 。 
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-- 16bit = 16bit 
-- a 48bit Type=0 Assigned Number 
AS 号 自行 分 配 


(0-65535) 


图 13-52 ”RD 值 包含 3 个 字段 图 13-53 ”Type 字段 值 为 0 






2. Type 字段 为 1 

当 Type 字段 为 1 时 ，Administrator 及 Assigned number 字段 的 长 度 分 别 为 32bit 及 
16bit。 其 中 Administrator 必须 是 一 个 IPv4 地 址 ， 通 常 为 公有 IP 地 址 ， 也 就 是 必须 向 
权威 机 构 申 请 的 IP 地 址 。 而 Assigned number 字段 则 由 该 卫 地 址 的 拥有 者 自行 分 配 ， 
如 图 13-54 所 示 。 

3. Type 字段 为 2 

当 Type 字段 为 2 时 ，Administrator 及 Assigned number 字段 的 长 度 分 别 为 32bit 及 
16bit。 其 中 Administrator 必须 包含 长 度 为 32bit 的 AS 号 ,通常 为 公有 AS 号 。 而 Assigned 
number 字段 则 由 该 AS 号 的 拥有 者 目 行 分 配 ， 如 图 13-55 所 示 。 注 意 ，Type 字段 为 2 的 
情况 需要 与 Type 字段 为 0 的 情况 区 分 开 来 ， 两 者 的 Administrator 字段 长 度 是 不 同 的 。 
Type 字段 为 2 的 场景 主要 是 为 了 适应 32bit 长 度 AS 号 的 需求 。 


[eu mee 
-- 16bit 32bit 

Assigned 
| Si 


自行 分 配 
IPv4 地 址 自行 分 配 (65536- a 
图 13-54 Type 字段 值 为 1 图 13-55 Type 字段 为 2 


在 现实 中 ， 我 们 通常 采用 “AS:NN” 的 格式 来 设置 RD 值 ， 例 如 “200:1”， 在 该 RD 
值 中 ， 冒 号 前 面 的 “200” 为 AS 号 ， 而 “1” 则 是 一 个 自 定义 的 数值 ， 此 时 Type 字段 值 
为 0。 

实际 上 ， 在 华为 路 由 器 上 为 VRF 配置 RD 时 ， 并 不 用 关心 Type 字段 值 ， 系 统 会 根 
据 用 户 输 入 的 RD 值 自动 判断 其 Type 字段 值 。 例 如 ， 如 果 为 VRF 设置 的 RD 值 为 
202.101.1.1:100， 那 么 该 RD 值 的 Type 字段 值 为 1，Administrator 及 Assigned number 字 
段 值 分 别 为 202.101.1.1 及 100; 如 果 为 VRF 设置 的 RD 值 为 64536:88， 那 么 该 RD 值 
的 Type 字段 值 为 2，Administrator 及 Assigned number 字段 值 分 别 为 64536 及 88， 留 
意 到 Administrator 的 值 大 于 65535， 因 此 系统 自动 判断 出 须 使 用 Type 字段 值 为 2 的 RD 
来 承载 。 

传统 的 BGP 并 不 能 运载 VPNv4 的 路 由 前 级 ,但 是 扩展 之 后 的 BGP, 也 就 是 MP-BGP 
则 可 以 做 到 。 正 如 前 文 所 述 ，MP-BGP 被 用 于 在 MPLS VPN 网 络 中 运载 VPNv4 路 由 前 
级 。 MP-BGP 支持 多 种 类 型 的 地 址 族 (Address Families), 通过 引入 不 同 地 址 族 , MP-BGP 
得 以 实现 对 各 种 类 型 路 由 的 支持 ,例如 IPv4 路 由 、IPv6 路 由 、VPNv4 路 由 等 等 .VPN-IPv4 
地 址 族 (VPN-IPv4 Address Family) 被 用 于 实现 对 VPNv4 路 由 的 支持 。 本 书 将 在 
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“MP-BGP” 一 节 中 详细 介绍 MP-BGP 及 地 址 族 的 相关 概念 。 
13.3.6 RT 


我 们 已 经 知道 ，RD 被 用 于 附加 在 IPv4 路 由 前 级 之 前 ， 构 成 全 局 唯一 的 VPNv4 路 
由 前 级 ， 从 而 在 MPLS VPN 网 络 中 解决 路 由 冲突 问题 。RD 并 不 用 于 标识 该 路 由 的 起 源 
VRF, 也 不 用 于 决定 将 该 路 由 注入 哪 一 个 目标 VRF。MPLS VPN 定义 了 RT(Route Target) 
来 控制 VPN 路 由 信息 在 不 同 站 点 间 的 发 布 及 接收 。RT 在 华为 数 通 产品 上 也 被 称 为 VPN 
Target。 

可 以 形象 地 将 RT 理解 为 给 VPNv4 路 由 所 设置 的 “标记 ” 人 一 台 PE 设备 从 远 端 PE 
设备 接收 多 条 VPNv4 路 由 后 〈 这 些 VPNv4 路 由 可 能 来 源 于 不 同 的 客户 ， 或 者 说 来 源 于 
不 同 的 VRF)， 可 以 根据 这 些 路 由 所 携带 的 RT 来 决定 将 哪些 路 由 注入 本 地 的 哪 一 个 
VRF。 

一 个 RT 值 的 长 度 为 32bit， 一 条 VPNv4 路 由 可 以 携带 一 个 或 多 个 RT 值 。VPNv4 
路 由 是 通过 MP-BGP 进行 传递 的 ， 而 RT 则 是 装载 在 BGP 的 Community 属性 中 ， 并 
且 是 一 种 扩展 的 Community 属性 ， 正如 前 文 所 述 , 一 个 RT 属性 可 以 包含 一 个 或 多 个 
RT 值 。 

在 MPLS VPN 中 ， 存 在 两 种 RT: Import RT (入 站 RT) 及 Export RT (出 站 RT)， 
在 PE 上 创建 VRF 时 , 通常 都 需要 指定 该 VRF 的 这 两 种 RT 值 。 两 者 的 定义 及 区 别 如 下 。 

l. Export RT: 

当 PE 设备 从 其 直 连 的 CE 设备 收 到 IPv4 客户 路 由 后 将 路 由 转换 成 VPNv4 路 由 时 ， 
它 会 为 这 些 VPNv4 路 由 设置 RT， 该 RT 的 值 便 是 相应 VRF 中 所 设置 的 Export RT。 当 
VPNv4 路 由 通过 MP-BGP 会 话 发 往 远 端 PE 设备 时 ,RT 被 保存 在 路 由 的 扩展 Community 
属性 中 ， 与 路 由 一 并 传递 给 对 端 。 





如 果 VRF 中 定义 了 多 个 Export RT， 那 么 当 该 VRF 对 应 的 VPNv4 路 由 被 通告 给 
远 端 PE 时 ， 这 些 Export RT 都 会 被 携带 。 


2. Import RT 

当 PE 设备 从 远 端 PE 设备 收 到 VPNv4 路 由 时 , 会 检查 这 些 路 由 所 携带 的 RT， 并 与 
本 地 的 各 个 VRF 所 指定 的 Import RT 进行 比 对 , 如 果 VPNv4 路 由 所 携带 的 RT 中 包含 本 
地 某 个 VRF 所 指定 的 Import RT， 那 么 PE 设备 便 将 路 由 注入 该 VRF 中 。 





> 与 Export RT 一 样 ，VRE 的 Import RT 也 可 以 设置 一 个 或 多 个 值 。 例 如 某 个 VRF 
的 Import RT 为 64512:1 及 64512:200, 那么 只 要 所 收 到 的 菜 一 条 VPNv4 路 由 的 RT 中 包 
含 64$12:1 或 64512:200， 该 路 由 便 会 被 注入 该 VRF 中 。 


图 13-56 展示 了 一 个 简单 的 例子 ， 在 这 个 例子 中 ， 我 们 只 考虑 客户 路 由 从 PE1 传递 
到 PE2 的 过 程 。 在 PE1 上 ，VRF A 指定 了 Export RT 100:1 (使 用 vpn-target 100:1 
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export-extcommunity 命令 指定 )， 而 在 PE2 上 ，VREF A 则 指定 了 Import RT 100:1 (使 用 
vpn-target 100:1 import-extcommunity 命令 指定 )。PE1 收 到 CE1 通告 过 来 的 IPv4 路 由 
10.3.2.0/24 后 将 路 由 存储 在 VRF A 的 路 由 表 中 ， 然 后 将 该 路 由 转换 成 YPNv4 路 由 ， 并 
为 路 由 设置 RT， 该 RT 的 值 等 于 100:1《〈 即 VRF A 所 设置 的 Export RT)。PE1 将 VPNv4 
路 由 100:1326:10.3.2.0/24 通过 MP-BGP 通告 给 PE2， 后 者 收 到 该 路 由 后 ， 将 其 携带 的 
RT 与 本 地 VRF 的 Import RT 进行 比 对 ， 结 果 发 现 本 地 的 VRF A 的 Import RT 与 该 路 由 
的 RT 相 匹 配 ， 因 此 认为 该 路 由 可 以 被 本 地 的 VRF A 接收 。 PE2 将 VPNv4 路 由 的 RD 和 剥 
除 ， 将 IPv4 路 由 10.3.2.0/24 注入 VRF A 的 路 由 表 中 ， 最 后 将 该 路 由 通告 给 CE2。 














VPNv4 路 由 
IPv4 路 由 100:1326:10.3.2.0/24 
10.3.2.0/24 RT=100:1] 






: ip vpn-instance A 
route-distinguisher 100:1326 
vpn-target 100:1 export-extcommunity 


EE EE 


EM 
NN 


: ip vpn-instance A 
route-distineuisher 100:1359 
vpn-target 100:1 import-extcommunity 


OED 





: ip vpn-instance B 
route-distinguisher 200:6021 


IPv4 路 由 | : i : .VPNv4 路 由 
i032 074 | bua Timort extoommmnity 100:1326:10.3.2.0/24 


RT=100:] 











图 13-56 Export RT 与 Import RT 





在 实际 的 MPLS VPN 部 署 中 , PE 设备 通常 需 同时 发 送 及 接收 VPNv4 路 由 , 因此 
PE 的 VRF 中 需 指 定 Export RT 及 Import RT。 


13.4 MP-BGP 


本 书 “BGP” 一 章 为 大 家 介绍 的 是 BGPv4 (BGP Version 4)， 目 前 大 多 数 BGPv4 都 
是 基于 RFC4271 实现 的 。BGPv4 被 广泛 部 署 在 纯 IPv4 的 网 络 环境 中 , 用 于 交互 IPv4 路 
由 信息 。 

大 家 已 经 知道 ， 在 MPLS VPN 中 ，BGP 用 于 在 PE 设备 之 间 传 递 客户 路 由 ， 客 户 的 
原始 路 由 是 IPv4 的 路 由 ， 但 是 这 些 路 由 在 MPLS VPN 网 络 中 传递 时 ， 需 被 附加 RD， 从 
而 形成 VPNv4 路 由 , 而 BGPv4 是 无 法 运载 VPNv4 路 由 的 .MP-BGP (Multi-Protocol BGP) 
在 BGPv4 的 基础 上 ， 增 加 了 对 于 多 协议 的 支持 。RFC4760 (Multiprotocol Extensions for 
BGP-4) 详细 地 描述 了 BGP 的 多 协议 扩展 。 
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13.4.1 MP-BGP 在 MPLS VPN 中 的 应 用 


在 BGP 中 , Update 报 文 用 于 发 送 BGP 路 由 更 新 , 在 Update 报 文中 , NLRI (Network 
Layer Reachability Information， 网 络 层 可 达 性 信息 ) 用 于 承载 IPv4 路 由 更 新 ， 然 而 它 无 
法 承载 诸如 VPNv4 路 由 在 内 的 其 他 类 型 的 路 由 。 为 了 使 得 MP-BGP 能 够 文 持 多 种 路 由 
类 型 ，MP-BGP 引入 了 两 种 新 的 路 径 属 性 ,这 两 个 新 增 的 路 径 属 性 都 是 可 选 非 传递 属性 : 

e MP REACH NLRI (Multiprotocol Reachable Network Layer Reachability 
Information， 多 协议 可 达 NLRI): 用 于 通告 路 由 更 新 及 下 一 跳 信息 。 

e。 MP UNREACH NLRI (Multiprotocol Unreachable Network Layer Reachability 
Information， 多 协议 不 可 达 NLRI): 用 于 撤销 路 由 更 新 。 

MP REACH NLRI 及 MP UNREACH NLRI 均 拥有 如 下 两 个 字段 : 

。 AFI (Address Family Identifier， 地 址 族 标识 符 ): 用 于 标识 网 络 层 协议 类 型 ， 例 
如 IPv4、IPv6、IPX 等 。 

。 SAFI (Subsequent Address Family Identifier， 后 续 地 址 族 标示 符 ): 用 于 在 AFI 
的 基础 上 进一步 标识 NLRI 的 类 型 。 

AFI 及 SAFI 的 组 合用 于 指示 该 MP REACH NLRI 或 MP UNREACH NLRI 路 径 
属性 中 所 包含 的 是 什么 类 型 的 路 由 前 缀 ,例如 AFI=1 (表示 IPv4 协议 ) 且 SAFI=128( 表 
示 MPLS 标签 VPN 地 址 ) 时， 表示 其 中 包含 的 是 VPNv4 路 由 前 绥 。 

在 图 13-57 中 ，PE1 学 习 到 了 客户 A 站 点 1 的 客户 路 由 192.168.10.0/24， 现 在 ， 它 
要 将 该 路 由 通过 MP-BGP 通告 给 PE2。PE1 通过 一 个 BGP Update 报 文 实 现 这 个 目的 。 
在 该 Update 报 文中 ，PE1 插入 一 个 MP_REACH_NLRI 路 径 属 性 来 通告 VPNv4 路 由 
123:1:192.168.10.0/24 (其 中 123:1 为 RD 值 )， 另 外 ，MP REACH NLRI 中 还 包含 看 这 
条 VPNv4 路 由 的 下 一 跳 IP 地 址 1.1.1.1 (PE1 的 BGP 更 新 源 IP 地 址 )， 以 及 PE1 为 该 
VPNv4 路 Db 1026。 


客户 A 站 点 1 ”| ”MPLS VPN 骨干 网 络 


| 
192.168.10.0/24 | 
PE1 PFE2 
CE1l 
一 一 全 Loopback0 P Loopback0 
IPv4 路 由 1.1.1.1/32 3.3.3.3/32 


192.168.10.0/24 | 


Origin、 AS _Path、 扩 展 
Community (RT)., 


: AFI= 1，SAFI=128 
:VPNv4 路 由 123:1:192.168.10. 024i 
: Next Np 了 地 





图 13-57 PEI1 将 客户 路 由 通过 BGP Update 报 文 传递 给 PE2 
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图 13-58 展示 了 PE1 疝 PE2 所 发 送 的 这 个 MP-BGP Update 报 文 , 在 该 报 文中 , 能 直 
观 地 看 到 其 所 携带 的 各 种 路 径 属 性 ， 其 中 包括 MP REACH NLRI 路 径 属 性 。 从 
MP REACH NLRI 路 径 属 性 的 AFI 及 SAFI 字 段 可 知 该 报 文 携带 着 VPNv4 路 由 前 级 。 


Border Gateway Protocol 
aUPDATE Message 
Marker: 16 bytes 
Length: 91 bytes 
Type: UPDATE Message (2) 
Unfeasible routes length: 0 bytes 
Total path attribute length: 68 bytes 
sPath attributes 
ORIGIN: INCOMPLETE (4 bytes) 
AS_PATH: empty (3 bytes) 
MULTI_EXIT_DISC: 0 (7 bytes) 
加 LOCAL_PREF: 100 (7 bytes) 
日 EXTENDED_COMMUNITIES: (11 bytes) 
HFlags: OxcO (Optional, Transitive, Complete) 
Type code: EXTENDED_COMMUNITIES (16) 
Length: 8 bytes 
scCarried Extended communities 
UnknownRoute Target: 100:1 
SMP_REACH_NLRI (36 bytes) 
出 F]ags: Ox90 (Optional, Non-transitive, Complete, Extended Length) 
Type code: MP_REACH_NLRI (14) 
Length: 32 bytes 
Address family: IPv4 (1) 
Subsequent address family identifier: Labeled VPN Unicast (128) 
asNext hop network address (12 bytes) 
Next hop: Empty Label Stack RD=0:0 IPv4=1.1.1.1 (12) 
Subnetwork points of attachment: 0 
saNetwork layer reachability information (15 bytes) 
aLabel Stack=1026 (bottom) RD=123:1, IPV4=192.168.10.0/24 
MP Reach NLRI Prefix length: 112 
MP Reach NLRI Label] Stack: 1026 (bottom) 
MP Reach NLRI Route Distinguisher: 123:1 
MP Reach NLRI IPv4 prefix: 192.168.10.0 (192.168.10.0) 


图 13-58 ”在 BGP Update 报 文中 通告 VPNv4 路 由 
13.4.2 MP-BGP 的 地 址 族 视 图 


我 们 已 经 知道 , MP-BGP 采用 地 址 族 来 区 分 不 同 的 网 络 层 协议 , 要 在 BGP 对 等 体 之 
间 交 互 不 同类 型 的 路 由 信息 ， 则 需要 在 正确 的 地 址 族 视图 下 激活 对 等 体 ， 以 及 发 布 BGP 
路 由 。 在 系统 视图 下 ， 使 用 bgp as-number 命令 即 可 进入 BGP 配置 视图 ， 在 该 视图 中 ， 
继续 使 用 如 下 命令 ， 可 以 进入 相应 的 地 址 族 视图 〈 以 下 仅 列举 了 几 个 常用 的 命令 )。 

。 执行 ipv4-family unicast 命令 ， 进 入 IPv4 单 播 地 址 族 视图 。 

e。 执行 ipv4-family vpnv4 命令 ， 进 入 VPNv4 地 址 族 视图 。 

。 执行 ipv4-family vpn-instance vpn-instance-name 命令 ， 进 入 VPN 实例 IPv4 地 址 
族 视图 。 

。 执行 ipv6-family unicast 命令 ， 进 入 IPv6 单 播 地 址 族 视 图 。 

。 执行 ijpv6-family vpnv6 命令 ， 进 入 VPNv6 地 址 族 视 图 。 

e 执行 ipv6-family vpn-instance vpn-instance-name 命令 ， 进 入 VPN 实例 IPv6 地 址 
族 视 图 。 

在 图 13-59 中 ,R1、R2、R3 及 R4 分 别 位 于 AS65501、AS65502、AS65503 及 AS65504， 
R1l 需要 分 别 与 R2、R3 及 R4 建立 EBGP 对 等 体 关 系 ， 并 交互 BGP 路 由 。 

对 于 Rl 与 R2 之 间 的 EBGP 对 等 体 关 系 ， 相 信 大 家 不 会 陌生 ， 我 们 通常 会 在 Rl1 上 
采用 如 下 配置 : 
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[R1]bgp 65501 
[R1-bgpjpeer 10.1.12.2 as-number 65502 


R4 
AS65304 


10.1.14.4 


交互 VPNv4 路 由 


we 
nN se 
Pi We 


10.1.12.2 





- 
wes 





4—————— {i 
R2 ”交互 IPv4 单 播 路 由 Rl1\、 交 互 IPv4 单 播 路 由 。 R3, 
AS65502 人 AS6550 Ts AS65503 


Do 
_ 
wa a 
eS oe 


图 13-59 在 正确 的 地 址 族 配 置 视 图 中 激活 对 等 体 、 发 布 BGP 路 由 
实际 上 ， 上 述 配 置 等 同 于 : 


[R1jbgp 65501 

[Rl-bgplpeer 10.1.12.2 as-number 65502 
[Rl1-bgplipv4-family unicast 
[R1-bgp-af-ipv4]peer 10.1.12.2 enable 


也 就 是 说 ,在 R1 的 BGP 视图 下 执行 peer 10.1.12.2 as-number 65502 命令 指定 对 等 
体 R2 后 , 系统 会 自动 在 IPv4 单 播 地 址 族 视图 下 增加 peer 10.1.12.2 enable 命令 , 该 命令 
用 于 激活 对 等 体 之 间 交 互 IPv4 单 播 路 由 的 特性 。 完 成 对 等 体 关 系 建立 后 , Rl 与 R2 之 间 
便 可 以 通过 BGP 开始 交互 单 播 IPv4 路 由 。 对 于 Rl 而 言 ， 如 果 它 要 问 R2 通告 本 地 的 单 
播 IPv4 路 由 ， 可 以 直接 在 BGP 配置 视图 下 使 用 network 或 import-route 命令 发 布 BGP 
路 由 ， 例 如 执行 如 下 命令 : 


[Rllbgp 65501 

_ [Rl-bgplnetwork 11.1.1.0 24 
系统 会 目 动 将 上 述 命 令 调 整 为 : 
[Rlljbgp 65501 
[R1-bgplipv4-family unicast 
[R1-bgp-af-ipv4]network 11.1.1.0 24 


接 下 来 看 R1 与 R3， 两 者 之 间 也 需要 交互 IPv4 单 播 路 由 ， 只 不 过 ，R1 用 于 连接 R3 
的 接口 被 分 配给 了 VRF ABC， 因 此 当 RI1 与 R3 建立 BGP 对 等 体 关 系 时 ， 需 要 在 Rl 的 
VPN 实例 IPv4 地 址 族 视图 (或 者 说 IPv4 VRF 地 址 族 视图 ) 下 指定 对 等 体 R3。 

RI1 的 配置 如 下 : 


[Riljbgp 65501 

[R1-bgpjipv4-family vpn-instance ABC 

[R1-bgp-ABC]peer 10.1.13.3 as-number 65503 

而 Rl 与 R4 之 间 需 要 交互 VPNv4 路 由 , 因此 双方 需要 在 VPNv4 地 址 族 视 图 中 将 对 
[RiJbgp 65501 

[RI-bgp]peer 10.1.14.4 as-number 65504 # 首 先 配 置 BGP 对 等 体 

[Rl-bgplipv4-family vpnv4 

[Ri-bgp-af-vpnv4]peer 10.1.14.4 enable # 激 活 对 等 体 之 间 交 互 VPNv4 路 由 的 特性 
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13.4.3 ”案例 : MP-BGP 在 MPLS VPN 中 的 基础 配置 


在 图 13-60 中 ，PE1、P 及 PE2 是 MPLS VPN 骨干 网 络 中 的 设备 。 现 在 ， 为 了 实现 
客户 路 由 的 传递 ， 需 在 PE1 及 PE2 间 部 署 MP-IBGP Re 体 关 系 ，PE1 及 PE2 之 间 的 
MP-IBGP 对 等 体 关系 基于 双方 的 Loopback0 接口 建立 。 在 该 MPLS 网 络 中 已 经 运行 了 
OSPF， 并 且 PE1 及 PE2 都 将 自己 的 Loopback0 接口 的 路 由 发 布 到 了 OSPF 中 。 


MPLS VPN 骨干 网 络 (AS123) 


客户 A 站 点 1 客户 A 站 点 2 


Loopback0 Loopback0 | EC 
客户 B 站 点 1 1.1.1.1/32 3.3.3.3/32 客户 B 站 点 2 


页 
2 





BGP 对 等 体 ‘VPNy4 地 址 族 ) 
图 13-60 MP-BGP 基础 配置 


PE1 的 关键 配置 如 下 : 


[PE] Tbgp 123 

[PE1-bgplrouter-id 1.1.1.1 

[PE1-bgplundo default ipv4-unicast 

[PE1-bgpjpeer 3.3.3.3 as-number 123 

[PEl1-bgp]peer 3.3.3.3 connect-interface LoopBack 0 
[PE1-bgpjipv4-family vpnv4 unicast 
[PE1-bgp-af-vpnv4]peer 3.3.3.3 enable 

PE2 的 关键 配置 如 下 : 

[PE2]bgp 123 

[PE2-bgpjrouter-id 3.3.3.3 

[PE2-bgpjundo default ipv4-unicast 

[PE2-bgpjpeer 1.1.1.1 as-number 123 

[PE2-bgp]peer 1.1.1.1 connect-interface LoopBack 0 
[PE2-bgplipv4-family vpnv4 unicast 
[PE2-bgp=af-vpnv4 |lpeer 1.1.1.1 enable 


在 BGP 的 配置 视图 下 使 用 peer 命令 指定 一 个 BGP 对 等 体 后 ， 时 设备 会 将 该 对 
等 体 在 其 BGP 的 IPv4 单 播 地 址 族 中 激活 。 在 本 例 中 ， 由 于 PE1 与 PE2 之 间 只 需 交 互 
VPNv4 路 由 ， 而 无 需 交 互 TPv4 路 由 ， 因 此 无 需 在 各 自 的 了 Pv4 地 址 族 中 激活 对 方 如 宋 
设备 所 创建 的 BGP 对 等 体 不 需要 在 IPv4 单 播 地 址 族 中 激活 ， 可 使 用 undo default 
ipv4-unicast 命令 关闭 上 述 缺 省 操作 。 

在 BGP 配置 视图 下 ， 执 行 ipv4-family vpnv4 unicast te ， 进 入 设备 的 VPNv4 
地 址 族 ， 在 该 地 址 族 视图 下 ， 执 行 peer peer-address enable 命令 ， 可 以 激活 对 等 体 之 间 
交互 VPNv4 路 由 的 特性 。 

完成 上 述 配 置 后 ,可 在 设备 上 使 用 display bgp vpnv4 all peer 命令 查看 BGP 对 等 体 
的 状态 ， 以 PE1 为 例 : 


<PE1>display bgp vpnv4 all peer 
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BGP local router ID : 1.1.1.1 
Local AS number : 123 


Total number of peers : 1 Peers in established state : ] 
Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRev 
“人 123 5 8 0 00:03:36 Established 0 


13.5 MPLS VPN 的 路 由 交互 及 数据 转发 


要 充分 理解 MPLS VPN， 从 控制 层面 及 数据 转发 层面 来 剖析 是 非常 有 必要 的 。 在 
控制 层面 , MPLS VPN 需要 解决 客户 路 由 在 站 点 之 间 传 递 的 问题 ， 同 时 还 要 解决 标签 
分 发 的 问题 。 对 于 前 者 而 言 ， 主 要 是 PE-CE 之 间 的 协议 及 MP-BGP 的 工作 任务 ， 而 
对 于 后 者 ， 实 现 标签 分 发 能 力 的 是 两 个 协议 : LDP 及 MP-BGP， 它们 分 别 完 成 公 网 及 
私 网 标签 的 分 发 。 控 制 层 面 的 工作 完成 后 ， 数 据 转 发 任务 才能 够 顺利 启动 。 站 点 间 互 
访 的 流量 在 入 站 LSR 一 一 本 站 点 直 连 的 PE 处 被 压 入 标签 栈 ， 然 后 开始 标签 报 文 的 转 
发 之 旅 。 


13.5.1 MPLS VPN 路 由 交互 过 程 


在 典型 的 MPLS VPN 解决 方案 中 , MPLS VPN 上 骨干 网 络 是 一 个 公共 网 络 , 任何 客户 
都 能 接 入 该 网 络 并 享受 其 服务 。 客户 通过 MPLS VPN 网 络 实现 各 个 站 点 之 间 的 路 由 交互 
及 数据 互通 。 从 路 由 交互 的 层面 上 看 ， 客 户 的 CE 设备 采用 IGP 协议 或 BGP (通常 是 
EBGP) 与 直 连 的 PE 设备 交互 客户 路 由 ， 如 图 13-61 所 示 ， 而 PE 设备 则 将 其 所 接收 的 
IPv4 客户 路 由 转换 成 VPNv4 路 由 并 通过 MP-BGP 通告 给 远 端 PE 设备 , 因此 PE 设备 之 
间 采 用 MP-BGP 交互 路 由 。 


-一 一 mw -~ - 了 一 一 ~ 一 一 ea 


MPLS VPN 骨干 网 络 (AS123) | | 





客户 A 站 点 2 


a Emma a Pp ; Ws 
使 用 静态 路 由 、RIP、 | 使 用 静态 路 由 、RIP、 
OSPF、1S-IS 或 BGP OSPF、IS-IS 或 BGP 


ep |] 使 用 MP-BGP 交互 VYPNv4 路 由 | 吾 焉 互 IPy4 宫 站 路 由 


图 13-61 MPLS VPN 路 由 交互 


下 面 通过 一 个 简单 的 例子 ， 讲 解 一 下 MPLS VPN 网 络 中 的 客户 路 由 传递 过 程 。 

(1) 对 于 CE 设备 而 言 ，MPLS VPN 骨干 网 络 内 部 的 结构 对 其 是 不 可 见 的 ， 当 然 
它 也 无 需 关 心 。CE 设备 一 方面 通过 站 点 内 部 敬 的 路 由 协议 获知 到 达 站 点 内 各 网 段 的 
路 由 ， 另 一 方面 通过 PE-CE 间 运 行 的 路 由 协议 与 直 连 的 PE 设备 交互 IPv4 客户 路 由 。 
在 它 看 来 ， 穿 越 MPLS VPN 网 络 ， 对 和 面 就 是 男 一 个 站 点 的 CE 设备 。 以 图 13-62 中 的 
客户 A 站 点 1 内 的 CE1 为 例 ， 它 将 到 达 本 地 站 点 内 192.168.10.0/24 网 段 的 路 由 通告 
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给 PE1。 
VRFA 
RD 64512:100 

Import RT 100:1 

Export RT 100:1 
] “MPLS VPN 骨干 网 络 (AS123) 
| 客户 A 站 点 1 | 客户 A 站 点 2 | 
| CEl ~ PE PE2 | CE2 : 
| 192.168.10.0/24 \ | | | 192.168.20.0/24 

Wp : -< aa 


将 路 由 192.168.10.0/24 通过 | ”将 客户 路 由 加 载 到 VRF 路 由 表 
PE-CE 间 路 由 协议 通告 给 PE1 | 


~ 


图 13-62 CE1 将 客户 路 由 通告 给 PE1 


(2) PE1 需要 同时 为 多 个 客户 提供 VPN 服务 ， 因 此 它 创 建 了 多 个 YVRF， 其 中 一 个 
专门 服务 于 客户 A (VRF A)。 在 创建 VRF 时 , PE1 需 指定 该 VRF 的 RD 及 RT ( 含 Import 
RT 及 Export RT)。PE1 将 其 连接 CE1 的 接口 分 配给 了 VRF A。 如 果 PE1 采用 动态 路 由 
协议 与 CE1 对 接 ， 则 该 动态 路 由 协议 必须 与 VRF A 绑 定 ， 如 此 一 来 ，PE1 通过 该 路 由 
协议 从 CE1 学 习 到 的 客户 路 由 便 会 被 加 载 到 VRF A 的 路 由 表 中 。 接 下 来 ，PE1 需要 将 
这 些 IPv4 客户 路 由 转换 成 VPNv4 路 由 。 客 户 路 由 192.168.10.0/24 将 被 附加 RD， 形 成 
VPNvy4 路 由 64512:100:192.168.10.0/24, 并 且 添 加 一 个 扩展 Community 属性 用 于 承载 RT 
( 值 为 VRF A 中 所 设 定 的 Export RT 100:1)， 另 外 ，MP-BGP 还 会 为 该 VPNv4 路 由 分 配 
私 网 标签 。 






人 如 果 PE1 使 用 非 BGP 协议 与 CE1 交互 客户 路 由 ， 那 么 它 需 要 将 客户 路 由 引入 
BGP (通过 Import-route 命令 )， 从 而 形成 VYPNv4 路 由 并 将 路 由 通过 MP-BGP 通告 给 
PE2; 如 果 了 PE1 使 用 BGP 与 CE1 交互 客户 路 由 ,那么 PE1 无 需 手 工 配置 路 由 引入 ， 因 
为 它 通过 BGP 学 习 到 的 客户 路 由 可 以 自动 形成 VPNVv4 路 由 并 通过 MP-BGP 通告 给 
PE2, 


(3) 为 了 实现 VPNv4 路 由 交互 ，PE1 与 PE2 需 建立 MP-BGP 对 等 体 关 系 。 如 前 文 
所 述 ， 两 者 的 对 等 体 关 系 往往 基于 Loopback 接口 建立 。 在 此 之 前 ，MPLS VPN 骨干 网 
络 内 部 署 IGP 协议 〈 例 如 OSPF 或 IS-IS) 是 非常 有 必要 的 。 因 此 PE1 需要 在 根 设备 上 
部 署 IGP 协议 ， 该 IGP 协议 用 于 交互 MPLS VPN 骨干 网 络 内 部 的 路 由 ， 为 MP-BGP 
对 等 体 关 系 的 建立 做 铺垫 ,当然 , 也 为 后 续 LDP 对 等 体 关 系 的 建立 及 LDP 标签 分 发 做 
铺垫。 

PE1 及 PE2 之 间 的 MP-BGP 对 等 体 关 系 建立 好 之 后 ,VPNv4 路 由 即 可 通过 MP-BGP 
从 PE1 传递 给 PE2， 如 图 13-63 所 示 ，PE1 使 用 Loopback0 接口 的 IP 地址 作为 MP-BGP 
更 新 源 的 他 地 址 。 
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VRFA 

RD 64512:100 
Import RT 100:1 
Export RT 100:1 


ne > 
Sv | | | SA | 
PC | | | Li 总 | 
客户 A 站 点 1 | 客户 A 站 点 2 | 
Cl CE2 
192.168.10.0/24 





192.168.20.0/24 





Lo back0 
1.1.1.1/32 


Origin、AS_Path、 扩 展 Community 
(RT=100:1)、 .0.,. 


LETEEIOELELLIIEE LE 
PEE 


: VPNv4 路 由 64512:100:192.168.10.0/24 
: Next Hop=1.1.1.1 : 


私 网 标签 1026 


" 
BEETLELOELEELELELEE LL 


图 13-63 PEI1 将 VPNv4 路 由 传递 给 PE2 


(4) PE2 也 在 自己 本 地 创建 了 VRF， 其 中 VRFA 专门 服务 于 客户 A， 它 将 其 连接 客 
户 A 站 点 2 的 CE2 的 接口 分 配给 该 VRF。PE2 收 到 PE1 传递 过 来 的 VPNv4 路 由 后 , 在 
本 地 VRF 的 Import RT 中 得 询 VPNv4 路 由 所 携 审 的 RT 全 (100:1)， 由 于 PE2 的 VRF A 
的 Import RT 匹配 该 值 ， 因 此 PE2 将 VPNv4 路 由 前 级 的 RD 剥 除 ， 然 后 将 IPv4 路 由 
192.168.10.0/24 加 载 到 VRF A 的 路 由 表 中 ， 如 图 13-64 所 示 ， 此 时 该 路 由 的 类 型 为 BGP。 


VRFA 


RD 64512 :200 
Import RT 100 :1 
Export RT 100 :1 














NW ee vet re VEE ee Se Wott Ws eee vw Ws 
™ 
所 


客户 A 站 点 1 


| 
客户 A 站 点 2| 
| 


每 


| 192.168.10.0/24 


prewar snes pte rmt ep ese ee 


| 192.168.20.0/24 


WwW- 


】 
】 


@ 
将 VPN4 路 由 注入 本 地 VRF， 并 形 
成 IPv4 路 由 加 载 至 VRF 路 由 表 





| 
Loopback0 
1.1 | .1/32 


BGP Update 报 文 
图 13-64 PE2 将 VPNv4 路 由 注入 本 地 VRF 
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(5) 接 下 来 PE2 要 将 VRF A 路 由 表 中 的 192.168.10.0/24 路 由 通告 给 CE2。 如 果 PE2 
与 CE2 之 间 所 运行 的 动态 路 由 协议 就 是 BGP， 那 么 PE2 可 以 直接 通过 BGP 将 路 由 通告 
给 对 方 。 而 如 果 两 者 间 运 行 的 是 IGP 协议 ， 那 么 PE2 便 必 须 将 BGP 路 由 引入 该 IGP 协 
议 ， 以 便 将 192.168.10.0/24 路 由 通告 给 CE2， 如 图 13-65 所 示 。 







客户 A 站 点 1 
| 





192.168.10.0/24 


| | f 
, SEE. 


" 
将 192.168.10.0/24 路 由 通告 给 CE2 


图 13-65 ”PE2 将 站 点 1 的 客户 路 由 通告 给 CE2 


13.5.2 MPLS VPN 数据 转发 过 程 


在 图 13-65 中 ，CE2 已 经 通过 PE2 获知 了 到 达 站 点 1 的 192.168.10.0/24 路 由 ， 为 了 
让 CE2 发 往 192.168.10.0/24 的 报 文 能 够 穿越 MPLS VPN 网 络 顺利 地 抵达 站 点 1，MPLS 
VPN 网 络 需 提 前 做 好 准备 。 

正如 前 文 所 说 , 客户 站 点 间 互 访 的 报 文 在 MPLS VPN 网 络 中 是 以 标签 报 文 的 形式 处 
理 的 , IP 报 文 进入 MPLS VPN 骨干 网 络 时 被 压 入 两 层 标签 。 首 先是 内 层 标签 ， 内 层 标 签 
义 被 称 为 私 网 标签 ， 由 MP-BGP 分 配 。 在 图 13-66 中 ，PE1 的 MP-BGP 为 客户 路 由 
192.168.10.0/24 所 分 配 的 私 网 标签 是 1026, 它 将 该 路 由 通过 MP-BGP 通告 给 PE2 时 ,所 
分 配 的 标签 值 也 被 一 并 通告 给 了 后 者 ，PE2 学 习 到 该 路 由 后 ， 将 标签 值 存储 起 来 。 另 一 
层 标签 是 外 层 标 签 ， 也 就 是 公 网 标签 ， 该 层 标 签 由 LDP 分 配 ， 外 层 标 签 用 于 将 标签 报 文 
从 一 个 PE 转发 到 远亲 PE。 

在 图 13-66 中 ，MPLS VPN 骨干 网 络 中 的 设备 均 创建 了 Loopback0 接口 ， 以 PE1 为 
例 ， 它 的 Loopback0 接口 地 址 为 1.1.1.1/32， 需 注意 的 是 ， 该 接口 属于 PE1 的 根 实例 (不 
属于 任何 VRF)。MPLS VPN 骨干 网 络 内 运行 的 IGP 使 得 网 络 内 部 实现 了 路 由 互通 ， 所 
有 的 骨干 网 络 设 备 部 将 自己 的 Loopback0 接口 路 由 发 布 到 该 IGP。 接 下 来 ， 所 有 的 P 及 
PE 设备 都 激活 MPLS 及 LDP， 并 且 直 连 设 备 之 间 建 立 LDP 对 等 体 关 系 。LDP 对 等 体 关 
系 及 MP-BGP 对 等 体 关 系 的 建立 ， 均 基于 设备 的 Loopback0 接口 实现 ， 有 了 骨干 网 络 内 
IGP 的 铺垫 ， 这 些 对 等 体 关 系 的 建立 都 可 以 顺利 进行 。 

PE1 及 PE2 基于 双方 的 Loopback0 接口 建立 了 MP-BGP 对 等 体 关 系 后 ,以 PE1 为 例 ， 
它 会 问 PE2 发 送 BGP Update 报 文 ， 以 便 将 VPNv4 路 由 64512:100:192.168.10.0/24 通告 
给 PE2。 该 Update 报 文 除 了 描述 VPNv4 路 由 前 级 之 外 ， 还 有 几 个 非常 重要 的 信息 ， 例 
如 路 由 的 RT, 以 及 PE1 为 该 路 由 所 分 配 的 私 网 标签 等 。 另外, 还 有 这 条 路 由 的 Next Hop 
属性 值 ， 该 值 被 设 定 为 PEl1 的 BGP 更 新 源 地 址 ， 也 就 是 其 Loopabck0 接口 地 址 1.1.1.1， 
这 个 地 址 至 关 重 要 。PE2 收 到 PE1 通告 过 来 的 VPNv4 路 由 后 ， 会 检查 路 由 的 Next_Hop 
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: MP_ REACH NLRI(AFTI=1, SAFI=128) : 
: VPNv4 路 由 64512:100:192.168.10. 0/24 : 
: Next Hop=]1.1.1.1 : 
私 网 标签 1026 


DEEEOITIIETT 


客户 A 站 点 2 





oopbadil Loopbnckl Loonbaciil | 


| 1.1.1.1/32 3.3.3.3/32 2.2.2.2132 
、_LDP 标签 映射 LDP 标签 映射 
“FECTTTIS FECTTTI3 
Label=1091 Label=1033 


图 13-66 激活 MPLS 及 LDP 并 建立 LDP 对 等 体 关 系 


另 一 方面 ， 当 MPLS VPN 骨干 网 络 内 的 设备 完成 LDP 对 等 体 关系 建立 后 ，LDP 标 
签 分 友 也 束 开 始 了 。 以 1.1.1.1/32 路 由 为 例 ，PE1 为 该 路 由 分 配 了 标签 1091 (此 时 如 果 
PE1 激活 了 PHP 特性， 那么 将 为 该 路 由 分 配 标签 值 3， 在 本 节 的 案例 中 ， 我 们 姑且 忽略 
PHP 特性 )， 它 将 该 标签 映射 通告 给 位 于 上 游 的 P，P 收 到 该 标签 映射 后 ， 保 存 PE1 所 通 
告 的 标签 值 ， 然 后 自己 为 该 路 由 分 配 标签 1033， 并 将 标签 映射 通告 给 位 于 上 游 的 PE2。 
如 此 一 来 ， 一 条 关于 1.1.1.1/32 路 由 的 LSP 也 就 建立 起 来 了 。 

现在 ， 当 站 点 2 发 往 192.168.10.0/24 的 IP 报 文 到 达 CE2 后 ，CE2 将 报 文 路 由 到 
PE2，PE2 将 在 其 连接 CE2 的 接口 上 收 到 这 些 报 文 ， 由 于 该 接口 被 分 配给 了 VRF A， 
因此 PE2 在 其 VRF A 的 FIB 表 中 查询 该 报 文 的 目的 人 PP 地 址 (在 设备 上 使 用 display fib 
vpn-instance 命令 可 查看 VRF FIB 表 )， 并 得 到 对 应 的 Tunnel ID。 接 下 来 ，PE2 在 报 
文中 先 压 入 一 个 标签 头 部 〈 私 网 标签 ， 标 签 值 为 1026， 也 即 PE1 的 MP-BGP 为 
64512:100:192.168.10.0/24 路 由 分 配 的 标签 )， 再 根据 Tunnel ID 找到 相应 的 隧道 ， 由 
于 该 Tunnel ID 对 应 的 隧道 是 一 个 LSP， 因 此 在 报 文 标签 栈 的 栈 顶 再 压 入 一 个 新 的 标 
签 头 部 〈 公 网 标签 ， 标 签 值 为 1033， 也 即 P 为 1.1.1.1/32 路 由 分 配 的 标签 )， 最 后 将 
标签 报 文 转发 给 P, 如 图 13-67 所 示 。 从 这 里 可 以 看 出 ,PE 使 用 VPNv4 路 由 的 Next_Hop 
地 址 对 应 的 LDP 标签 作为 标签 报 文 的 外 层 标签 。P 收 到 PE2 转发 过 来 的 标签 报 文 后 ， 
只 会 查看 该 报 文 的 外 层 标 签 ， 它 将 该 标签 置换 成 1091《〈 也 即位 于 下 游 的 PE1 为 路 由 
1.1.1.1/32 分 配 的 标签 )， 然 后 将 标签 报 文 转 发 给 PE1。PE1 收 到 该 标签 报 文 后 ， 将 外 
层 标 签 弹 出 ， 然 后 根据 内 层 标 签 值 将 报 文 对 应 到 本 地 VRF， 最 后 将 内 层 标签 弹出 ， 
将 IP 报 文 转发 给 CE1。 
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MPLS VPN 骨干 网 络 (AS123) 


客户 A 站 点 2 





外 层 公 网 标签 ， 由 P 为 路 由 1.1.1.1/32 分 配 
内 层 私 网 标签 ， 由 PE1 的 MP-BGP 为 VPN 路 由 192.168.10.0/24 分 配 


去 往 客户 A 站 点 1 192.168.10.0/24 网 段 的 IP 报 文 
图 13-67 IP 报 文 穿越 MPLS VPN 骨干 网 络 的 过 程 


13.6 ” MPLS VPN 的 实现 


13.6.1 案例 1: VRF 的 配置 及 实现 


在 PE 设备 上 ，VRF 的 配置 是 非常 关键 的 。PE 通常 使 用 不 同 的 VRF 为 不 同 的 客户 
提供 服务 、 与 不 同 客 户 的 CE 设备 对 接 。 以 图 13-68 为 例 ，PE1 分 别 通 过 自己 的 GE0/0/1 
及 GE0/0/2 接口 与 客户 A 站 点 1 的 CE1， 以 及 客户 B 站 点 1 的 CE2 对 接 。 
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图 13-68 ”VREF 的 基础 配置 


在 PE1 上 创建 服务 于 客户 A 的 VRF， 并 将 其 接口 GE0/0/1 分 配给 该 VRF: 
[PE1]p vpn-instance customer A 

[PE1-vpn-instance-customer Ajroute-distinguisher 123:100 

[PE1-vpn-instance-customer A-af-ipv4]vpn-target 123:1 export-extcommunity 

[PE1-vpn-instance-customer A-af-ipv4]vpn-target 123:1 import-extcommunity 

[PE1-vpn-instance-customer A-af-ipv4]quit 

[PE1-vpn-instance-customer Alquit 


[PEl1]interface GigabitEthernet 0/0/1 
[PE1-GigabitEthemet0/O/1]ip binding vpn-instance customer A 
[PE1-GigabitEthemet0/0/1]ip address 10.1.13.3 24 


在 上 述 配 置 中 , ip vpn-instance 命令 用 于 创建 一 个 VRF 并 进入 其 配置 视图 。 在 VRF 
(在 华为 路 由 器 上 ，VRF 也 被 称 为 VPN-Instance) 的 配置 视图 下 ，route-distinguisher 命 
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令 用 于 配置 该 VRF 的 RD 值 ，vpn-target export-extcommunity 及 vpn-target import- 
extcommunity 命令 则 分 别 用 于 配置 该 VRF 的 Export RT 及 Import RT 值 。 





“在 华为 数 通 产品 上 ，VRF 的 名 称 是 大 小 写 敏 感 的 ， 因 此 VRF A 与 VRF a 是 两 个 
不 同 的 VRF。 为 外 ， 一旦 VRF 指定 了 RD 值 ， 那 么 该 VRF 的 RD 将 不 能 再 被 修改 ， 如 
需 在 VRF 中 修改 RD, 则 需 先 在 系统 视图 下 执行 undo ip vpn-instance 命令 将 指定 的 VRF 
删除 ， 然 后 重新 创建 VRF 并 为 其 指定 新 的 RD。 


VRF customer A 被 成 功 创建 后 ， 我 们 需 将 设备 的 接口 分 配给 它 ， 在 接口 视图 下 ,使 
用 ip binding vpn-instance 命令 ， 可 以 将 该 接口 分 配给 指定 的 VRF。 在 以 上 配置 中 ， 设 
备 的 GE0/0/1 接口 被 分 配给 了 VREF customer A。 需 注意 的 是 ， 如 果 接 口 原来 已 经 存在 IP 
地 址 等 配置 ， 则 将 其 分 配给 -VRF 后 ， 这 些 配 置 将 会 被 清空 ， 此 时 需 重 新 为 接口 配置 IP 
地 址 。 

接 下 来 继续 在 PE1 上 创建 服务 于 客户 B 的 VRF， 并 将 接口 GE0/0/2 分 配给 它 : 


[PE1]ip vpn-instance customer B 

[PEl1-vpn-instance-customer Blroute-distinguisher 456:200 
[PEl-vypn-instance-customer B-af-ipv4|]vpn-target 456:2 export-extcommunity 
[PE1-vpn-instance-customer B-af-ipv4]vpn-target 456:2 import-extcommunity 
[PE1-vpn-instance-customer B-af-ipvy4lquit 
[PE1-vpn-instance-customer Bl]quit 


[PE1 linterface GigabitEthernet 0/0/2 
[PE1-GigabitEthernet0/0/2jip binding vpn-instance customer B 
[PE1-GigabitEthernetO/0/2]ip address 10.1.23.3 24 


完成 上 述 配置 后 ，PE1 便 拥有 了 两 个 VRF， 并 且 其 连接 CE1 及 CE2 的 接口 都 已 经 
分 别 被 分 配给 了 相应 的 VRF。 
使 用 display ip vpn-instance 命令 可 以 查看 VRF 的 配置 信息 : 
<PE1>display ip vpn-instance 
Total VPN-Instances configured bal 


Total IPv4 VPN-Instances configured :2 
Total IPv6 VPN-Instances configured :0 


VPN-Instance Name RD Address-family 
customer A 123:100 lIPv4 
customer B 456:200 IPv4 


在 display ip vpn-instance 命令 中 增加 verbose 关键 字 可 以 进一步 查看 详细 信息 : 
[PE1l]display ip vpn-instance verbose 

Total VPN-Instances configured :2 

Total IPv4 VPN-Instances configured :2 

Total IPv6.VYPN-Instances configured :0 


VPN-Instance Name and ID : customer A, 1 
Interfaces : GigabitEthernet0/0/] 

Address family ipv4 
Create date : 2016/04/09 14:35:21 UTC-08:00 
Up time : 0 days, 00 hours, 01 minutes and 13 seconds 
Route Distinguisher . 123:100 
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Export VPN Targets 123:1 

Import VPN Targets 123:1 

Label Policy >- label per route 
Log Interval : 5 


VPN-Instance Name and ID : customer B, 2 
Interfaces : GigabitEthernet0/0/2 

Address family ipv4 
Create date : 2016/04/09 14:35;44 UTC-08:00 
Up time : 0 days, 00 hours, 00 minutes and 50 seconds 


Route Distinguisher - 456:200 
Export VPN Targets : 456:2 

Import VPN Targets 456;2 

Label Policy label per route 


Log Interval >- 9 
使 用 display ip voinieia ls vpn-instance 命令 可 查看 VRF 的 路 由 表 。 当 然 ， 此 时 
PE1 并 未 从 任何 CE 设备 学 习 到 任何 客户 路 由 ， 所 以 VRF 路 由 表 中 仅 存 在 直 连 接口 的 路 
由 。 以 customer A 为 例 ， 其 路 由 表 中 此 时 只 有 GE0/0/1 接口 的 直 连 路 由 : 


[PEl]display ip routing-table vpn-instance customer A 
Route Flags: R - relay, D - download to fib 一 


Routing Tables: customer A 


Destinations ; 4 Routes : 4 
Destination/Mask Proto Pre Cost Flags NextHop Interface ~ 
10.1.13.0/24 Direct 0 0 D 10.1.13.3 GigabitEthernet0/0/1 
10.1.13.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.1.13.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


13.6.2 ”案例 2: 在 PE-CE 之 间 部 署 静态 路 由 


在 MPLS VPN 解决 方案 中 ， 对 于 CE 设备 而 言 ， 需 要 从 PE 设备 获取 远 端 站 点 的 路 
由 ; 对 于 PE 设备 而 言 ， 需 要 从 直 连 的 CE 设备 获取 本 地 站 点 的 客户 路 由 。PE-CE 之 间 所 
部 属 的 路 由 协议 便 是 为 了 实现 这 个 目的 。 

一 个 最 简单 的 方法 是 ， 在 PE-CE 之 间 部 署 静 态 路 由 。 在 PE 设备 上 ， 将 其 连接 CE 
设备 的 接口 分 配给 相应 的 VRF 后 ， 便 可 以 直接 在 VRF 的 路 由 表 中 添加 到 达 该 CE 设备 
所 在 站 点 的 客户 路 由 ， 路 由 的 下 一 跳 为 该 CE 设备 ;而 CE 设备 则 直接 配置 到 达 远 端 站 
点 的 静态 路 由 ， 路 由 的 下 一 跳 为 该 PE 设备 。 

在 图 13-69 中 ，PE1 连接 着 A、B 两 个 客户 的 CE 设备 ， 以 PE1 的 配置 为 例 ， 首 先 
需 在 该 设备 上 创建 两 个 VRF: customer A 及 customer B， 分 别 对 应 客户 A 及 客户 B。 
PE1 的 GE0/0/1 接口 被 分 配给 了 customer A, 而 GE0/0/2 接口 则 被 分 配给 了 customer B， 
这 部 分 配置 不 再 蒙 述 。 

PE1 的 静态 路 由 配置 如 下 : 


[PE1]ip route-static vpn-instance customer A 172.16.1.0 24 172.16.0.2 
[PE1]ip route-static vpn-instance customer B 192.168.1.0 24 192.168.0.2 


ip route-static 命令 用 于 在 设备 的 路 由 表 中 添加 静态 路 由 ， 如 果 在 该 命令 中 使 用 


第 13 章 MPLS 与 MPLS VPN 679 


vpn-instance 关键 字 ， 则 可 将 静态 路 由 添加 到 设备 的 VRF 路 由 表 中 ， 例 如 以 上 配置 中 的 ip 
route-static vpn-instance customer_A 172.16.1.0 24 172.16.0.2 命令 , 则 是 在 VRF customer A 
的 路 由 表 中 添加 到 达 172.16.1.0/24 网 段 的 静态 路 由 ， 并 且 该 路 由 的 下 一 跳 为 172.16.0.2。 






客户 A 站 点 1 | 客户 A 站 点 2 I 
172.16.1.0/24 | 172.16.2.0/24 | 

| 
了 CE1 | CE2 #4 | 
172.16.0.2/27 





192.168.0.2/27 | . 
z CE3 

| | 

客户 B 站 点 1 | 客户 B 站 点 2 | 

192.168.1.0/24 | | 192.168.2.0/24 | 

i / = il 











图 13-69 在 PE-CE 之 间 部 署 静态 路 由 


而 对 于 两 个 客户 的 CE 设备 而 言 ， 它们 需要 将 去 往 各 自 远 端 站 点 的 流量 转发 到 PE1， 
就 需要 有 路 由 来 指引 ， 在 该 场景 中 ，CE 设备 需 添加 到 达 远 端 网 络 的 静态 路 由 。 

CE1 的 配置 如 下 : 

[CE1jip route-static 172.16.2.0 24 172.16.0.1 

CE3 的 配置 如 下 : 

[CE3]ip route-static 192.168.2.0 24 192.168.0.1 

PE2、CE2 及 CE4 的 配置 同 理 ， 不 再 著述 。 

完成 上 述 配 置 后 ， 在 PE1 上 查看 VRF customer A 的 路 由 表 : 

<PE1>display ip routing-table vpn-instance customer A 

Route Flags: R - relay, D - download to fib 
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Destinations : 5 Routes :3 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
172.16.0.0/27 Direct 1 D MO GigabitEthernet0/0/1 
172.16.0.1/32 Direct 1 D 127.0.0.1 GigabitEthernet0/0/1 
172.16.0.31/32 Direct "i D 127.0.0.1 GigabitEthernet0/0/1 
172.16.1.0/24 Static 0 RD 172.16.0.2 GigabitEthernet0/0/1 
255.255.255.255/32 Direct 0 D 127.0.0.1 InLoopBack0 


再 查看 VRF customer B 的 路 由 表 : 
<PE1>display ip routing-table vpn-instance customer B 
Route Flags: R - relay, D - download to fb 
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Destinations ; 5 Routes ; 5 
Destination/Mask Proto Pre'' (ost Flags NextHop Interface 
192.168.0.0/27 Direct 0 0 D 192,168.0.1 GigabitEthernet0/0/2 
192.168.0.1/32 ， Direct Wi D 127.0.0.1 GigabitEthernet0/0/2 
192.168.0.31/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
192.168.1.0/24 Static 60 0 RD 192.168.0.2 GigabitEthernet0/0/2 
233.2509.253253132 Direct 0 0 D 127.0:0,1 InLoopBack0 


在 上 述 输出 中 ， 大 家 能 看 到 VRF customer A 及 VRF customer B 的 路 由 表 中 出 现 的 
静态 路 由 。 需 要 强调 的 是 ， 此 时 客户 的 路 由 仅仅 是 在 PE1 的 VRF 路 由 表 中 存在 ， 并 且 
是 以 IPv4 路 由 (静态 路 由 ) 的 形式 存在 ,它们 并 不 会 被 目 动 引 入 MP-BGP 从 而 形成 VPNv4 
路 由 。 因 此 远 端 的 PE2 显然 是 无 法 通过 MP-BGP 学 习 到 这 些 路 由 的 。 为 了 让 PE1 将 到 
达 本 地 直 连 的 客户 的 站 点 IPv4 路 由 转换 成 VPNv4 路 由 ， 还 需要 在 PE1 上 将 静态 路 由 引 
入 MP-BGP， 如 图 13-70 所 示 。 







VRF customer_A 的 路 由 表 BGP 234s 


静态 路 由 172.16.1.0/24 
| ipv4-family vpn-instance customer A 
yj> import-route static 





VRF customer_B 的 路 由 表 ipv4-family vpn-instance customer B 


| 静态 路 由 192.168.1.0/24 import-route static 
| - PE1 


图 13-70 将 VRF 路 由 表 中 的 静态 路 由 引入 MP-BGP 
PE1 的 关键 配置 如 下 : 


[PE1]bgp 2345 
[PEl-bgplipv4-family vpn-instance customer A 
[PEl-bgp-customer Alimport-route static 
[PEl-bgplipv4-family vpn-instance customer B 
[PEIi-bgp-customer Blimport-route static 


由 于 PE1 创建 了 两 个 VRF， 并 且 我 们 分 别 在 这 两 个 VRF 的 路 由 表 中 添加 了 到 达 客 
户 站 点 的 路 由 ， 因 此 大 PE1 要 将 这 些 客 户 路 由 引入 MP-BGP 束 必须 在 MP-BGP 的 配置 
视图 中 先进 入 相应 VRF 的 IPv4 地 址 族 视 图 ， 然 后 再 执行 路 由 引入 操作 。 例 如 要 将 VRF 
customer A 的 路 由 表 中 的 静态 路 由 引入 MP-BGP， 束 必须 在 BGP 配置 视图 下 ， 执 行 
ipv4-family vpn-instance customer_A 命令 进入 VRF customer A 的 IPv4 地 址 族 , 然后 在 
该 地 址 族 的 配置 视图 中 执行 import-route static 命令 将 VRF 路 由 表 中 的 静态 路 由 引入 
BOP。 


13.6.3 ”案例 3: 在 PE-CE 之 间 部 团 OSPF 
在 图 13-69 中 , 如果 客 户 站 点 的 网 络 规模 较 小 , 在 PE-CE 之 间 部 署 静 态 路 由 的 确 可 行 ， 
但 是 一 旦 客户 站 点 网 络 规模 变 大 ， 静 态 路 由 的 可 扩展 性 就 将 受到 挑战 ， 网 络 管理 员 的 工作 


量 也 将 相应 增加 ; 再 者 ， 当 站 点 网 络 发 生变 更 时 《例如 增加 或 删除 网 段 )，PE 设备 是 无 法 
动态 感知 的 ， 因 此 在 多 数 场景 下 ， 在 PE-CE 间 部 署 动态 路 由 协议 要 显得 更 加 实际 。 
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OSPF 是 PE-CE 间 动 态 路 由 协议 的 可 选 方案 之 一 ， 也 是 最 稼 见 的 方案 之 一 。 依 然 以 
图 13-69 所 示 的 网 络 为 例 ， 我 们 将 在 PE1 与 CE1、CE3 之 间 部 署 OSPF, 使 得 PE 设备 与 
CE 设备 能 够 通过 OSPF 交互 客户 路 由 。 以 CE1 为 例 ， 它 将 本 地 网 段 发 布 到 OSPF， 使 得 
PE1 能 够 通过 OSPF 学 习 到 站 点 路 由 ， 另 外 ，CE1 也 通过 OSPF 学 习 到 PE1 通告 过 来 的 
远 闹 站 点 路 由 。 

CE1 的 配置 如 下 : 

[CE1 |]ospf 1 

[CE1-osp 人 1jarea 0 


[CE1-ospf 人 1-area-0.0.0.0]network 172.16.0.0 0.0.0.31 
[CE1-osp 他 1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
CE3 的 配置 如 下 : 

[CE3]ospf 1 

[CE3-osp 人 1]area 0 

[CE3-0spf-1-area-0.0.0.0Jnetwork 192.168.0.0 0.0.0.31 
[CE3-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 


从 以 上 内 容 可 以 看 出 ，CE1 及 CE3 的 配置 均 是 传统 的 OSPF 配置 。 接 下 来 重点 讲解 
PE1 的 配置 ,此 时 假设 PE1 已 经 创建 了 VREF customer A 及 VRF customer B, 这 两 个 VRF 
分 别 服务 于 客户 A 及 客户 B， 此 外 PE1 连接 CE 设备 的 接口 也 已 经 被 分 配给 了 相应 的 
VRF， 这 部 分 配置 不 再 资 述 。 

PE1 的 VRF OSPF 配置 如 下 : 

[PE1jospf 1 vpn-instance customer A 


[PEl-ospf-llarea0 
[PE]l-ospf-t:area-0.0.0.0Inetwork 172.16.0.0 0.0.0.31 


[PE]]ospf 2 vpn-instance customer B 

[PE1-ospf-2]area 0 

[PE1-osp 人 2-area-0.0.0.0]network 192.168.0.0 0.0.0.31 

在 上 述 配置 中 ，PE1 创建 了 两 个 OSPF 进程 ， 这 两 个 进程 使 用 的 Process-ID 分 别 是 
1 和 2。 大 家 已 经 知道 ， 在 华为 路 由 器 上 可 以 创建 多 个 OSPF 进程 ， 每 个 OSPF 进程 使 用 
唯一 的 Process-ID 进行 标识 。 同 一 全 网络 设备 上 的 不 同 OSPF 进程 之 间 相 互 独立 ， 互 不 
影响 。 设 备 会 分 别 为 这 些 OSPF 进程 维护 不 同 的 LSDB， 从 一 个 进程 学 习 到 的 LSA 仅仅 
存储 在 该 进程 的 LSDB 中 。 如 果 没 有 在 ospf 命令 中 使 用 vpn-instance 关键 字 ， 那 么 被 创 
建 的 OSPF 进程 是 部 署 在 设备 的 根 实例 中 的 ， 设 备 通过 该 进程 所 获悉 的 OSPF 路 由 会 被 
加 载 到 其 全 局 路 由 表 中 。 在 PE1 的 配置 中 ，ospf 命令 中 指定 了 vpn-instance 关键 字 ， 这 
意味 看 该 命令 所 创建 的 OSPF 进程 被 绑 定 到 了 茶 个 VRF， 而 不 再 属于 根 实 例 。 例 如 执行 
ospf 1 vpn-instance customer A 命令 后 ，PE1 将 会 在 设备 上 创建 一 个 Process-ID 为 1 的 
OSPF 进程 ， 并 且 该 进程 被 绑 定 到 了 VRF customer A， 设 备 在 该 进程 中 学 习 到 的 OSPF 
路 由 将 会 被 加 载 到 VRF customer A 的 路 由 表 中 。 

完成 上 述 配置 后 ，PE1 便 会 分 别 与 CE1 及 CE3 建立 OSPF 邻接 关系 。 


<PE1>display ospf peer 





OSPF Process 1 with Router ID 172.16.0.1 
Neighbors 


Area 0.0.0.0 interface 172.16.0.1(GigabitEthernet0/0/1)'s neighbors 


682 HCNP 路 由 交换 学 习 措 南 


Router ID: 172.16.0.2 Address: 172.16.0.2 
State: Full Mode:Nbris Slave Priority: 1 
DR: 172.16.0.2 BDR: 172.16.0.1 MTU:0 
Dead timer due in 33 sec 
Retrans timer interval: 5 
Neighbor is up for 00:11:15 
Authentication Sequence: [ 0 ] 


OSPF Process 2 with Router ID 192.168.0.1 
Neighbors 


Area 0.0.0.0 interface 192.168.0,1(GigabitEthernet0/0/2)'s neighbors 
Router ID: 192.168.0.2 Address; 192.168.0.2 
State: Full Mode:Nbr is Master Priority: 1 
DR: 192.168.0.2 BDR: 192.168.0.1 MTU:0 
Dead timer due in 30 sec 
Retrans timer interval: 5 
Neighbor is up for 00:10:20 
Authentication Sequence: [0 1] 
在 PE1 上 观察 VRF customer A 的 路 由 表 : 
<PE1>display ip routing-table vpn-instance customer A 
Route Flags: R - relay, D - download to fib 
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Routing Tables: customer A 


Destinations : 5 Routes :5 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
172.16.0.0/27 Direct 0 0 D 172.16.0.1 GigabitEthermet0/0/1 
172.16.0.1/32 Direct 0 0 D -127.0.0.1 “GigabitEthernet0/0/1 
172.16.0.31/32 Direct 0 0 p-- 127.0.0.1 GigabitEthemet0/0/1 
172.16.1.0/24 ‘OSPF 10 1 D 172.16.0.2 GigabitEthernet0/0/1 
255.255.255.255/32 Direct 人 D 127.0.0.1 InLoopBack0 | 
再 看 一 下 VRF customer B 的 路 由 表 : 
<PE1>display ip routing-table ypn-instance customer B 
Route Flags: R -~ relay, D - downiead to fib 
Routing Tables: customer B . 
Destinations : 5 Routes : 5 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.0.0/27 Direct 0 0 D 192.168.0.1 GigabitEthemet0/0/2 
192.168.0.1/32 Direct 0 0 D 12700 GigabitEthernet0/0/2 
192.168.0.31/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
192,168.1.0/24 OSPF 10 5 -1 D 192.168.0.2 GigabitEthernet0/0/2 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBackf 


PE1 已 经 分 别 从 两 个 OSPF 进程 中 学 习 到 了 CE1 及 CE3 所 通告 的 本 站 点 路 由 。 

当然 ， 目 前 PE1 虽然 通过 OSPF 获知 了 到 达 直 连 站 点 的 客户 路 由 ， 但 是 这 些 OSPF 
路 由 仅仅 被 加 载 在 PE1 的 VRF 路 由 表 中 ， 我 们 还 需 做 进一步 的 配置 ， 使 得 PE1 将 这 些 
OSPF 客户 路 由 引入 MP-BGP， 从 而 形成 VPNv4 路 由 并 通告 给 远 端 的 PE2， 如 图 13-71 
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所 示 。 
通过 OSPF 、 VRF customer_A 的 路 由 表 BGP 234s 
ey 户 路 出 OSPF 路 由 172.16.1.0/24 | | | 
学 习 客户 路 二 172 16 0 0/27 WU | ipv4-family vpn-instance customer A 
yj import-route ospf 1 
通过 OSPF VRF customer_B 的 路 由 表 ipv4-family vpn-instance customer B 





学 习 客户 路 由 OSPF 路 由 192.168.1.0/24 
192.168.0.0/27 


import-route ospf 2 





PE1 | 


RP PO OO 


图 13-71 将 OSPF 路 由 引入 MP-BGP 


PE1 的 配置 如 下 : 


[PE1]bgp 2345 

[PE1-bgplipv4- 包 mily vpn-instance eustomer A 
[PE1-bgp-customer Alimport-route ospf 1 
[PE1-bgp]ipv4-family vpn-instance customer B 
[PE1-bgp-customer Bl]import-route ospf 2 


震 强 调 的 是 , 为 了 达到 上 述 目 的 , 直接 在 BGP 的 配置 视图 下 执行 import-route 命令 


是 不 行 的 ， 因 为 这 个 操作 只 会 将 PE1 的 全 局 路 由 表 中 的 OSPF 路 由 引入 BGP， 这 显然 与 
需求 不 符 。 要 将 PE1 学 习 到 的 客户 A 的 路 由 引入 MP-BGP， 就 必须 在 BGP 配置 视图 中 ， 
先 执 行 pv4-family vpn-instance _ customer A 命令 进入 相应 的 地 址 族 视图 ， 然 后 再 执行 
import-route ospf 1 命令 将 PE1 的 VRF customer A 路 由 表 中 通过 OSPF 进程 1 学 习 到 的 
OSPF 路 由 引入 BGP。 客 户 B 的 路 由 同 理 。 


完成 上 述 操 作 后 ， 可 在 PE1 上 查看 VRF 的 BGP 路 由 信息 ， 执 行 display bgp vpnv4 


vpn-instance customer A routing-table 命令 可 以 看 到 如 下 输出 : 


出 : 


<PE1>display bgp vpnv4 vpn-instance customer A routing-table 
BGP Local router ID is 0.0.0.0 
‘Status codes: * - valid, > - best, d - damped, 
h - history， i-intermnal,s - Subpressed, S - Stale 
Ornigin :1-IGPe-EGP ? -incomplete 


VPN-Instance customer A, Router ID 0.0.0.0: 


Total Number of Routes: 2 


Network NextHop MED LocPrf PrefVal Path/Ogn 
Wo 2 T00027 0.0.0.0 0 0 + 
4 0.0.0.0 这 0 了 


执行 display bgp vpnv4 vpn-instance customer B routing-table 命令 可 以 看 到 如 下 和 输 


<PE1>display bgp vpnv4 vpn-instance customer B routing-table 


BGP Local router ID is 0.0.0.0 

Status codes: * - valid, > - best, d - damped, 
h-history, 1-internal,s - suppressed, S - Stale 
Origin :1- IGP, e - EGP, ? - incomplete 
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VPN-Instance customer B, Router ID 0.0.0.0: 


Total Number of Routes: 2 
Network NextHop MED LocPrf PrefVal Path/Ogn 


*> 192.168.0.0/27 0.0.0.0 0 0 二 
*> 192,168.1.0 0.0.0.0 0 2 


2 

从 以 上 输出 可 以 看 出 ， 完 成 OSPF 到 BGP 的 路 由 引入 操作 后 ，PE1 的 BGP 已 经 获 
知 了 到 达 A、B 客户 直 连 站 点 的 路 由 。 接 下 来 ，PE1 便 会 将 其 学 习 到 的 客户 路 由 转换 成 
VPNv4 路 由 发 往 PE2。 

另 一 个 需要 考虑 的 问题 是 , 如 果 PE2 将 其 直 连 的 客户 站 点 的 路 由 通过 MP-BGP 通告 
给 了 PE1， 那 么 后 者 如 何 将 客户 路 由 通过 PE-CE 间 的 路 由 协议 通告 给 相应 的 CE 设备 ? 
在 本 例 中 ,PE1 从 PE2 获取 到 的 远 端 站 点 的 客户 路 由 是 VPNv4 路 由 ,PEI1 收 到 这 些 VPNv4 
路 由 后 ， 首 先 根据 本 地 VRF 所 配置 的 Import RT 将 到 达 客 户 A 站 点 2 的 路 由 注入 本 地 
VREF customer A 的 路 由 表 中 《和 剥 除 RD 值 ， 只 将 IPv4 路 由 注入 )， 将 客户 B 站 反 2 的 路 
由 注入 本 地 VRF customer B 的 路 由 表 中 。 缺 省 时 ， 这 些 路 由 的 协议 类 型 为 BGP” 它们 
并 不 会 被 自动 地 引入 OSPF， 而 需要 分 别 在 OSPF 进程 1 及 进程 2 中 将 BGP 路 由 引入 本 
OSPF 进程 。 

PE1 的 关键 配置 如 下 : 


PPEli]ospf 1 
[PE1-ospf-1jimport-route bgp 


[PE1lospf 2 
[PE1-0spf-2]import-route bgp 





“TY 此 时 OSPF 进程 1 及 进程 2 已 经 创建 完成 ， 因 此 再 次 进入 这 两 个 进程 的 配置 视图 
则 无 需 在 0Spf 命令 中 使 用 vpn-instance 关键 宁 。 


PE2 与 CE2 和 CE4 如 果 也 采用 OSPF 交互 客户 路 由 ， 则 配置 类 似 ， 不 再 著述 。 
13.6.4 ”案例 4: 在 PE-CE 之 间 部 团 BGP 


除了 前 面 提 到 的 静态 路 由 及 OSPF， 在 PE-CE 之 间 另 一 个 非常 常见 的 动态 路 由 协议 
便 是 BGP。 由 于 PE 设备 已 经 使 用 MP-BGP 与 远 端 PE 交互 VPNv4 路 由 ， 因 此 在 PE 设 
备 与 CE 设备 间 使 用 BGP 交互 客户 路 由 将 使 配置 变 得 更 加 整齐 。 值 得 注意 的 是 ，PE-CE 
间 的 BGP 交互 的 是 IPv4 路 由 ， 而 PE-PE 之 间 的 BGP 交互 的 却 是 VPNv4 路 由 。 

由 于 PE 设备 采用 不 同 的 VRF 对 接 不 同 的 客户 ， 因 此 PE 设备 与 客户 的 CE 设备 建 
立 BGP 对 等 体 关 系 时 ， 必 须 在 VRF 的 IPv4 地 址 族 中 指定 对 等 体 。 另 外 ， 与 使 用 OSPF 
等 动态 路 由 协议 交互 路 由 的 场景 不 同 ， 当 PE-CE 之 间 使 用 BGP 交互 客户 路 由 时 ， 无 需 
手工 执行 路 由 引入 操作 。PE 设备 通过 BGP 从 其 直 连 CE 设备 所 学 习 到 的 BGP 路 由 ， 可 
直接 转换 成 VYPNv4 路 由 ,然后 通告 给 远 端 PE 设备 ; 而 其 从 远 疹 PE 设备 学 习 到 的 VPNv4 
路 由 ， 也 无 需 手工 执行 引入 操作 ， 可 直接 转换 成 IPv4 路 由 ， 然 后 通过 PE-CE 间 的 BGP 
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对 等 体 关 系 ， 通 告 给 相应 的 CE 设备 。 

在 图 13-72 中 ,我 们 将 在 PE1 上 采用 BGP 分 别 与 客户 A 及 客户 B 的 CE 设备 对 接 。 
此 处 假设 PE1 已 经 创建 了 VRF customer A 及 VRF customer B, 这 两 个 VRF 分 别 服务 于 
客户 A 及 客户 B， 此 外 PE1 连接 CE 设备 的 接口 也 已 经 被 分 配给 了 相应 的 VRF。 


客户 A 站 点 2 
172.16.2.0/24 


客户 A 站 点 ] 


172.16.1.0/24 








GEO/0/2 人 P1 P2 


192.168.0.1/27| ; 
: EBGP 对 等 体 MPLS VPN 骨干 网 络 (BGP AS234S) 





EBGP 对 等 体 









客户 B 站 点 2 
192.168.2.0/24 


192.168.1.0/24 


图 13-72 在 PE-CE 之 间 部 署 BGP 


PE1 的 配置 如 下 : 


[PE1jbgp 2345 
[PE1-bgplipv4-family vpn-instance customer A 
[PE1-bgp-customer Ajrouter-id 172.16.0.] 
[PEl-bgp-customer Ajpeer 172.16.0.2 as-number 64531 
| [PE1-bgp-customer Alquit 

~ [PE!l-bgpljipv4-family vpn-instance customer B 
[PE1-bgp-customer Bl]router-id 192.168.0.1 
[PE1-bgp-customer B]peer 192.168.0.2 as-number 64541 


CE1 的 配置 如 下 : 

[CE1]bgp 64531 

[CE1-bgp]router-id 172.16.0.2 

[CE1-bgpjpeer 172.16.0.1 as-number 2345 

[CE1-bgpjnetwork 172.16.1.0 24 # 发 布 客户 路 由 

CE3 的 配置 如 下 : 

[CE3]bgp 64541 

[CE3-bgp]router-id 192.168.0.2 

[CE3-bgpjpeer 192.168.0.1 as-number 2345 

[CE3-bgpjnetwork 192.168.1.0 24 

完成 上 述 配 置 后 , PE1 将 分 别 与 CE1 及 CE3 建立 EBGP 对 等 体 关 系 。 在 CE1 及 CE3 
上 可 使 用 display bgp peer 命令 查看 对 等 体 关 系 的 建立 情况 ， 但 是 在 PE1 上 ， 由 于 BGP 
对 等 体 关 系 归 属于 VRF， 因 此 使 用 上 述 命 令 将 无 法 看 到 对 等 体 的 相关 信息 ， 此 时 需 使 用 
display bgp vpnv4 vpn-instance customer A peer 命令 查看 VRF customer A 中 的 BGP 对 


等 体 : 
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<PE1>display bgp vpnv4 vpn-instance customer A peer 


BGP local router ID : 0.0.0.0 
Local AS number : 2345 


VPN-Instance customer A, Router ID 172.16.0.1: 


Total number of peers : 1 Peers in established state : 1 
Peer V AS MsgRevd MsgSent OutQ Up/Down State PrefRey 
172.16.0.2 4 64531 20 19 0 00:17:10 Established 1 


同 理 ， 使 用 display bgp vpnv4 vpn-instance customer B peer 命令 可 查看 VRF 
customer B 中 的 BGP 对 等 体 。 而 使 用 display bgp vpnv4 all peer 可 以 看 到 所 有 的 VRF 
中 的 BGP 对 等 体 : 

<PE1>dispiay bgp vpnv4 all peer 


BGP local router ID : 0.0.0.0 
Local AS number : 2345 


Total number of peers : 2 Peers ln established state : 2 
Peer V AS MsgRevd MsgSent OutQ Up/Down State PrefRev 
Peer of IPv4-family for vpn instance : 


VPN-Instance customer A, Router ID 172.16.0,1: 
172.16.0.2 4 64531 25 24 0 00:22:31 Established Wp : 


VPN-Instance customer B, Router ID 192.168.0.1: { 
192.168.0.2 4 64541 19 18 0 00:16:49 Established 1 


接 下 来 , 在 PE1 上 但 看 BGP 路 由 的 学 习 情 况 ， 使 用 display bgp vpnv4 vpn-instance 
customer_A routing-table 命令 ， 可 查看 VRF customer A 的 BGP 路 由 表 : 
<PE1l>display bgp vpnv4 vpn-instance customer A routing-table 


BGP Local router ID is 0.0.0.0 

Status codes: * - valid, > - best, d - damped, 
h - history, 1- internal,s - suppressed, S - Stale 
Origin : i- IGP, e - EGP, ? - incomplete 


VPN-Instance customer A, Router ID 172.16.0.1: 


Total Number of Routes: 1 - 
Network NextHop MED LocPrf PrefVal Path/Ogn 


*> 172.16.1.0/24 172.16.0.2 0 0 64531i 
VRF customer B 同 理 。 


通过 PE-CE 间 的 EBGP 对 等 体 关系 学 习 到 客户 路 由 后 ，PE1 会 自动 将 这 些 IPv4 的 
BGP 路 由 转换 成 VPNv4 路 由 ， 然 后 通过 BGP 通告 给 PE2， 如 图 13-73 所 示 。 

而 PE1 通过 BGP 从 PE2 学 习 到 VPNv4 路 由 后 ， 首 先 会 根据 本 地 VRF 的 Import RT 
将 客户 A 站 点 2 的 路 由 注入 VRF customer A 的 路 由 表 中 《和 剥 除 RD 值 ， 只 将 IPv4 路 由 
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注入 ), 将 客户 B 站 点 2 的 路 由 注入 VRF customer B 的 路 由 表 中 , 最 后 通过 PE-CE 间 的 
EBGP 将 路 由 通告 给 相应 的 CE。 


BGP 2345 







ipv4-family vpn-instance customer A 


通过 EBGP 对 等 人 
peer 172.16.0.2 as-number 64531 


关系 学 习 客户 路 





"Ey 
+ < 和 
. 


ipv4-family vpn-instance customer B 


i EBGP 中 
通过 EBGP 对 peer 192.168.0.2 as-number 64541 


关系 学 习 客 户 路 
PE1 


图 13-73 PE1 将 其 通过 EBGP 学 习 到 的 IPv4 客户 路 由 转换 成 VPNv4 路 由 并 通告 给 PE2 





i. PE-CE 间 EBGP 的 基本 配置 ， 忽略 了 关于 PE1 与 PE2 之 间 基 于 
VPNv4 地 址 族 的 BGP 对 等 体 关 系 建立 及 相关 配置 。 在 下 一 个 小 节 中 ， 我 们 将 会 系统 地 
介绍 MPLS VPN 的 整体 配置 过 程 。 


如 琳 PE2 与 CE2 和 CE4 也 采用 BGP 交互 客户 路 由 ， 则 配置 类 似 ， 不 再 蒙 述 。 
13.6.5 ”案例 5: MPLS VPN 基础 实验 


此 前 的 数 个 小 节 分 模块 介绍 了 MPLS VPN 基本 架构 中 的 相关 配置 , 在 本 小 节 中 ,这 
些 模块 将 被 整合 ,通过 这 个 案例 ， 大 家 将 会 完整 地 了 解 到 一 个 MPLS VPN 基本 组 网 的 实 
现 过 程 。 

在 图 13-74 中 ，PE1、P1、P2 及 PE2 是 MPLS VPN 骨干 网 络 中 的 设备 ，PE1 连接 着 
客户 A 站 点 1 的 CEl, 而 PE2 则 连接 独 该 客户 站 点 2 的 CE2。 客 户 A 期 望 通过 MPLS VPN 
实现 两 个 站 点 的 路 由 及 数据 互通 。 

在 本 案例 中 , PE1 与 CE1 之 间 采 用 BGP 交互 客户 路 由 , PE2 与 CE2 之 间 采 用 OSPF 
交互 客户 路 由 。 最 终 的 需求 是 : 172.16.1.0/24 网 段 能 够 与 172.16.2.0/24 网 段 实现 相互 





| 客户 A 站 点 1 | | 
172.16.1.0/24 | 















客户 A 站 点 2 
172.16.2.0/24 | 









172.1 _ 4 | 172.160.6/30 
| | | < a OSPF: | 
: | GEO/ONI 
10.0.34.4/24 10.0.45.4/24 | 
172.16.0.1/30 ni ee ' 172.16|0.5/30 






GEO/0/1 
P1 10.0.34.3/24 P2 


GEO/0/0 
PE1 10.0.23.2/24 


MPLS VPN 骨干 网 络 (BGP AS234S) 


GEO/0/0 


10.0.45.5/24 PE2 





图 13-74 ”MPLS VPN 基础 配置 
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实现 步骤 如 下 : 

(1) 在 MPLS VPN 骨干 网 络 内 运行 OSPF， 实 现 骨干 网 络 内 的 路 由 互通 

在 PE1、P1、P2 以 及 PE2 上 运行 OSPF。 在 MPLS VPN 骨干 网 络 内 部 署 这 个 IGP 
协议 的 目的 是 为 了 实现 骨干 网 络 内 部 的 路 由 互通 ， 为 后 续 的 MP-BGP 对 等 体 关 系 建立 、 
LDP 对 等 体 关 系 建立 以 及 LDP 标签 分 发 等 内 容 做 铺垫 。 值 得 注意 的 是 , 对 于 PE1 及 PE2 
而 言 ， 该 OSPF 进程 是 部 署 在 它们 的 根 实例 中 的 ， 而 不 是 部 署 在 任何 一 个 VRF 中 。 

PE1、P1、P2 以 及 PE2 都 各 自 创 建 Loopback0 接口 , 为 简单 起 见 , 它们 的 Loopback0 
接口 IP 地 址 分 别 规划 为 2.2.2.2/32、3.3.3.3/32、4.4.4.4/32 以 及 5.5.5.5/32。 考 虑 到 配置 及 
区 分 上 的 便利 ,将 各 个 设备 上 用 于 实现 骨干 网 络 内 部 路 由 互通 的 OSPF 进程 的 Process-ID 
统一 定 为 100。 

(2) MPLS VPN 骨干 网 络 中 的 设备 激活 MPLS， 并 激活 LDP， 建 立 LDP 对 等 体 关系 

在 PE1、P1、P2 以 及 PE2 上 激活 MPLS 及 LDP， 并 在 相应 的 接口 上 建立 LDP 对 等 
体 关 系 。LDP 开始 工作 后 ， 缺 省 情况 下 会 为 32 位 掩 码 长 度 的 主机 路 由 分 配 标签 ， 并 将 
标签 映射 通告 给 其 他 LDP 对 等 体 。MPLS VPN 骨干 网 络 内 的 四 台 路 由 器 的 Loopback0 
接口 路 由 都 会 建立 LSP， 这 为 后 续 的 客户 数据 转发 提供 了 基础 。 

(3) 在 PE1 及 PE2 上 创建 VRF， 将 连接 CE 设备 的 接口 分 配给 相应 的 VRF， 然 后 
配置 PE-CE 间 的 动态 路 由 协议 

为 了 实现 客户 路 由 的 交互 及 传递 ， 需 在 PE1 及 PE2 上 创建 VRF, 例如 VRF A， 并 将 连 
接客 户 A 的 CE 设备 的 接口 分 配给 该 VRF。 然 后 PE1 需 与 CE1 建立 基于 VRF 的 BGP 对 等 
体 关 系 ， 而 在 PE2 上 ， 则 需要 部 署 OSPF， 并 与 CE2 形成 邻接 关系 ， 该 OSPF 进程 必须 与 
VRF 绑 定 , 而 且 需 与 该 设备 已 经 存在 的 OSPF 进程 100 进行 区 分 , 即使 用 不 同 的 Process-ID。 

(4) 在 PE1 及 PE2 上 配置 MP-BGP， 并 且 在 两 者 之 间 建 立 MP-IBGP 对 等 体 关系 

PE1 及 PE2 的 BGP 采用 相同 的 AS 号 2345， 并 且 双 方 基 于 各 自 的 Loopback0 接口 
建立 MP-IBGP 对 等 体 关系 。 

(5) 在 PE 设备 上 根据 实际 情况 配置 路 由 引入 ， 实 现 IPv4 客户 路 由 与 YPNv4 路 由 
的 转换 过 程 

对 于 站 点 1 而 言 ， 由 于 PE1 与 CE1 建立 了 BGP 对 等 体 关系 ， 因 此 PE1 可 通过 BGP 
获知 到 达 该 站 点 的 IPv4 客户 路 由 ， 并 且 无 需 执 行路 由 引入 ，PE1 会 直接 将 其 通过 BGP 
学 习 到 的 IPv4 路 由 转换 成 VPNv4 路 由 , 并 将 该 路 由 通告 给 PE2。 另 外 , 当 PE1 收 到 PE2 
通告 过 来 的 VPNv4 路 由 后 , 同样 无 需 执 行路 由 引入 , PE1 会 自动 将 这 些 路 由 转换 成 IPv4 
路 由 ， 并 通过 BGP 将 路 由 通告 给 CE1。 

而 对 于 站 点 2 来 说 ，PE2 与 CE2 之 间 运 行 了 OSPF， 因 此 在 PE2 上 ， 需 将 BGP 路 由 
引入 OSPF, 使 得 CE2 可 通过 OSPF 学 习 到 去 往 站 点 1 的 客户 路 由 ,另外 PE2 还 需 将 OSPF 
路 由 引入 BGP， 使 得 它 能 够 将 通过 OSPF 学 习 到 的 本 地 站 点 的 IPv4 客户 路 由 转换 成 
VPNv4 路 由 ， 并 通过 BGP 通告 给 PE1。 

接 下 来 看 看 具体 的 配置 。 关 于 各 设备 接口 的 卫 地 址 的 配置 这 里 不 再 歼 述 。 

(1) 在 MPLS VPN 骨干 网 络 内 运行 OSPF， 实 现 骨 干 网 络 内 的 路 由 互通 

PE1 的 配置 如 下 : 


[PEljospf100 router-id 2.2.2.2 
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[PE1-ospf100]area0 
[PE1-ospf-100-area-0.0.0.0]network 2.2.2.2 0.0.0.0 
[PEl1-ospf 人 100-area-0.0.0.0]network 10.0.23.0 0.0.0.255 


P1 的 配置 如 下 : 


[Pllospf 100 router-id 3.3.3.3 

[Pl-ospf-100]area 0 
[Pl-ospf-100-area-0.0.0.0Jnetwork 3.3.3.3 0.0.0.0 
[Pl-ospf-100-area-0.0.0.0]network 10.0.23.0 0.0.0.255 
[Pl-ospf-100-area-0.0.0.0]network 10.0.34.0 0.0.0.255 
P2 的 配置 如 下 : 

[P2]ospf 100 router-id 4.4.4.4 

[P2-osp 人 100]area 0 : 
[P2-0spf-100-area-0.0.0.0Jnetwork 4.4.4.4 0.0.0.0 
[P2-0spf-100-area-0.0,0,0]network 10.0.34.0 0,0.0.255 
[P2-0spf-100-area-0.0.0.0Inetwork 10.0.45.0 0.0.0.255 


PE2 的 配置 如 下 : 


[PE2]ospf 100 router-id 5.5.5.5 

[PE2-ospf-100]area 0 
[PE2-ospf-100-area-0.0.0.0]network 5.5.5.5 0.0.0.0 
[PE2-ospf-100-area-0.0.0.0]network 10.0.45.0 0.0.0.255 


完成 上 述 配置 后 ， 需 检查 各 设备 的 路 由 表 。 以 PE1 为 例 : 


<PEl>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 
Public routing table : OSPF 

Destinations : $ Routes : 5 


_OSPF routing table status : <Active> 


Destinations ; $5 Routes : 5 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
2 OSPF 10 1 D 10.0.23.3 GigabitEthernet0/0/0 
4.4.4.4/32 OSPF 10 2 D 10.0.23.3 GigabitEthernet0/0/0 
.3.385132 OSPF 10 3 D 10.0.23.3 GigabitEthemet0/0/0 
10.0.34.0/24 OSPF 10 2 D 10.0.23.3 GigabitEthernet0/0/0 
10.0.45.0/24 OSPF 10 3 D 10.0.23.3 GigabitEthernet0/0/0 


OSPF routing table status : <Inactive> 
Destinations ;0 Routes :0 


PE1 已 经 通过 OSPF 学 习 到 了 去 往 MPLS VPN 骨干 网 络 内 各 个 网 段 的 路 由 ， 关 于 其 
他 设备 不 再 获 述 。 

(2) MPLS VPN 骨干 网 络 中 的 设备 激活 MPLS， 并 激活 LDP， 建 立 LDP 对 等 体 关系 

PE1 的 配置 如 下 : 

[PE1]mpls lsr-id 2.2.2.2 

[PEHmpls 

[PE1-mpls]quit 

[PE1]mpis ldp 

[PE1]interface GigabitEthernet 0/0/0 

[PE1-GigabitEthernet0/0/0]mpls 

[PE1-GigabitEthernetO/0/0]mpls ldp 
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P1 的 配置 如 下 : 

[P1]mpls lsr-id 3.3.3.3 

[P1]mpls 

[Pl-mpls]quit 

[Pllmpls ldp ， 

[Pllinterface GigabitEthernet 0/0/0 
[Pl-GigabitEthernet0/0/0]mpls 
[P1-GigabitEthernetO/0/0]mpls ldp 
[Pllinterface GigabitEthernet 0/0/1 
[Pl-GigabitEthernet0/0/1]mpls 
[P1-GigabitEthernet0/0/1]mpls ldp 
P2 的 配置 如 下 : 

[P2]mpls lsr-id 4.4.4.4 

[P2]mpls 

[P2-mpls]quit 

[P2]mpls ldp 

[P2]interface GigabitEthernet 0/0/0 
[P2-GigabitEthernet0/0/0]mpls 
[P2-GigabitEthernet0/0/0]Jmpls ldp 
[P2] interface GigabitEthernet 0/0/1 TT 
[P2-GigabitEthernet0/0/1]mpls 
[P2-GigabitEthernet0/0/1]mpls ldp 
PE2 的 配置 如 下 : 

[PE2}mpls lsr-id 5.5.5.5 

[PE2jmpls 

[PE2-mplslquit 

[PE2jmpls ldp 

[PE2]interface GigabitEthernet 0/0/0 
[PE2-GigabitEthermetO/0/0]mpls 
[PE2-GigabitEtheretO/0/0lmpls ldp 


完成 配置 后 ， 需 确保 所 有 的 LDP 邻 届 关 系 都 已 正确 建立 ， 以 PE1 为 例 : 


<PE1>display mpls ldp session 


LDP Session(s) in Public Network | 
Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM) 
A ™! before a session means the session is boing deleted. 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 -一 -一 -一 -一 一 一 一 一 


TOTAL: 1 sa Found. 


PE1 已 经 与 Pl 成 功 地 建立 了 LDP 会话， 其 他 设备 不 再 歼 述 。 


男 一 个 重要 的 检查 项 是 LSP 的 建立 , 尤其 是 关于 2.2.2.2/32 以 及 5.5.5.5/32 这 两 条 路 
由 的 LSP 建立 情况 ， 需 要 格外 留意 ， 因 为 这 两 个 IP 地 址 将 是 VPiNv4 路 由 的 下 一 跳 IP 


地 址 ， 在 两 个 站 点 通信 时 ， 需 要 用 到 关于 这 些 路 由 的 ' SP。 
在 PE1 上 查看 MPLS LSP 信息 ， 可 以 看 到 如 下 输出 : 


[PEl]display mpls lsp 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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FEC In/Out Label Ow Vrf Name 
TE ETL NULL/3 -/GE0/0/0 

33:3732 1024/3 -/GE0/0/0 

2,2.2,2/32 3/NULL -/- 

4.4.4.4/32 NULL/1025 -/GEQ/0/0 

4.4.4.4/32 1025/1025 -/GE0/0/0 

S.5.5.5/32 NULL/1026 -/GE0/0/0 

5.5.5.5/32 1026/1026 -/GE0/0/0 


我 们 看 到 ,5.5.5.5/32 路 由 的 LSP 已 经 建立 , 出 站 标签 为 1026。 此 外 ,PE1 为 2.2.2.2/32 
路 由 分 配 了 标签 值 3。 关 于 其 他 设备 的 LSP 信息 ， 此 处 不 再 歼 述 。 

(3) 在 PE1 及 PE2 上 创建 VRF， 将 连接 CE 的 接口 分 配给 相应 的 VRF， 然 后 配置 
PE-CE 间 的 动态 路 由 协议 

PE1 的 VRF 配置 如 下 : 

[PE1]ip vpn-instance A 

[PE1l-vpn-instance-Alroute-distinguisher 64538:100 

[PEI-vpn-instance-A-af-ipv4]vpn-target 64538:1 export-extcommunity 

[PE1-vpn-instance-A-af-ipv4]vpn-target 64539:2 import-extcommunity 

[PE1-Vpn-instance-A-af-ipv4]quit 

[PE1-vpn-instance-Alquit 


[PE1]interface GigabitEthermet 0/0/1 | 

[PE1-GigabitEthernet0/0/11]ip binding vpn-instance A 

[PEl1-GigabitEthernet0/0/1lip address 172:16.0.1 30 

在 上 述 配 置 中 ，VRF A 的 RD 值 被 指定 为 64538:100， 并 且 Export RT 及 Import RT 
分 别 为 64538:] 及 64539:2。 男 外 ，PE1 的 GE0/0/1 接口 被 分 配给 了 VRF A。 


接 下 来 ，PE1 需 与 CE1 建立 EBGP 对 等 体 关系 : 

[PE1]bgp 2345 

[PEl1-bgplipv4-family vpn-instance A 

[PE1-bgp-Ajrouter-id 172.16.0.1 

[PEl1-bgp-Alpeer 172.16.0.2 as-number 64538 

CEI1 的 配置 如 下 ,对 于 CE1 的 BGP 配置 相信 大 家 已 经 能 够 非常 熟练 地 进行 : 
[CE1Jbgp 64538 

[CE1-bgp]jrouter-id 172.16.0.2 


[CE1-bgp]peer 172.16.0.1 as-number 2345 
[CE1-bgpjnetwork 172.16.1.0 24 


PE2 的 配置 如 下 : 

[PE2]ip vpn-instance A 

[PE2-vpn-instance-A lroute-distinguisher 64539:200 
[PE2-vpn-instance-A-af-ipv4]vpn-target 64538:1 import-extcommunity 
[PE2-vpn-instance-A-af-ipv4]vpn-target 64539:2 export-extcommunity 
[PE2-vpn-instance-A-af-ipv4]quit 

[PE2-vpn-instance-Alquit 


# 将 172.16.1.0/24 路 由 发 布 到 BGP 


[PE2]interface GigabitEthernet 0/0/1 
[PE2-GigabitEthermet0/0/11]ip binding vpn-instance A 
[PE2-GigabitEthernet0/0/1]ip address 172.16.0.5 30 


[PE2]ospf 1 vpn-instance A 
[PE2-osp 他 1]area 0 
[PE2-osp 他 1-area-0.0.0.0]network 172.16.0.4 0.0.0.3 
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“为 了 保证 PE1 通过 MP-IBGP 通告 给 PE2 的 客户 路 由 能 够 被 后 者 顺利 地 加 载 到 本 
地 VRF 路 由 表 中 (反之 亦 然 )， 需 确保 双方 配置 相 匹 配 的 RT 值 。 


CE2 的 配置 如 下 : 

[CE2]ospf 1 router-id 6.6.6.6 

[CE2-ospf-1]area 0 

[CE2-ospf-1-area-0.0.0.0]network 172.16.0.4 0.0.0.3 
[CE2-0spf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 


完成 上 述 配置 后 ， 需 分 别 在 PE1 及 PE2 上 检查 一 下 VRF A 的 路 由 表 。 
在 PE1 上 VRF A 的 路 由 表 如 下 : 


<PE1>display ip routing-table vpn-instance A 
Route Flags: R - relay, D - download to fib 


-一 一 一 -一 一 一 一 一 一 一 一 一 一 一 -一 一 一 -一 一 一 -一 -一 -一 一 一 一 "一 -一 一 -- -一 一 一 一 一 -一 一 一 -一 一 -一 一 -一 一 -一 一 -一 一 一 一 一 一 一 一 -一 -一 一 一 一 一 一 一 一 一 -一 一 一 -一 一 


Routing Tables: A 


Destinations : $ Routes:5 
Destination/Mask Proto Pre Cost Flags NextHop SU II 
172.,16.1.0/24 EBGP 25 和 5 D 172.16.0.2 GigabitEthernet0/0/1 


pn 


PE1 已 经 通过 与 CE1 之 间 运 行 的 BGP 学 习 到 了 客户 路 由 172.16.1.0/24。 
在 PE2 上 VRF A 的 路 由 表 如 下 : 


<PE2>display ip routing-table vpn-instance A 
Route Flags: R - relay, D - download to fib 


-一 一 一 一 一 一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 


Routing Tables: A 


Destinations : 5 Routes : 5 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
172.16.2.0/24 OSPF ime | :1 172.16.0.6 GigabitEthernet0/0/1 


mis 


PE2 也 通过 OSPF 学 习 到 了 CE2 所 通告 的 客户 路 由 172.16.2.0/24。 
(4) 在 PE1 及 PE2 上 配置 MP-BGP， 并 且 在 两 者 之 间 建 立 MP-IBGP 对 等 体 关 系 
PE1 的 配置 如 下 : 


[PEl]bgp 2345 

[PE1-bgpjrouter-id 2.2.2.2 

[PE1-bgplundo default ipv4-unicast 

[PEl-bgpl}peer $.5.5.5 as-number 2345, 
[PE1-bgpjpeer $,5,5.5 connect-interface LoopBack 0 
[PE1-bgp]jipv4-family vpnv4 unicast 
[PE1-bgp-af-vpnv4]peer 5.5.5.5 enable 


在 上 述 配置 中 ，PE1 指定 了 对 等 体 5.5.5.5 (PE2) 及 其 所 处 的 AS 号， 并 日 在 VPNv4 单 播 
地 址 族 中 激活 了 该 对 等 体 。 由 于 PEI1 与 PE2 之 间 仅 需 交 互 VPNv4 路 由 ， 无 需 交 互 IPv4 路 由 ， 
因此 使 用 undo default ipv4-unicast 命令 配置 BGP 缺 省 不 在 IPv4 单 播 地 址 族 中 激活 对 等 体 。 
PE2 的 配置 如 下 : 


[PE2]bgp 2345 
[PE2-bgplrouter-id $.5.5.5 
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[PE2-bgpjundo default ipv4-unicast 

[PE2-bgp]peer 2.2.2.2 as-number 2345 
[PE2-bgp]peer 2.2.2.2 connect-interface LoopBack 0 
[PE2-bgplipv4-family vpnv4 unicast 
[PE2-bgp-af-vpnv4 |peer 2.2.2.2 enable 


完成 上 述 配 置 后 ， 首 先 在 PE1 及 PE2 上 查看 BGP 对 等 体 关 系 的 建立 情况 ， 在 PE1 
上 执行 display bgp vpnv4 all peer 可 以 看 到 如 下 输出 : 


<PE1>display bgp vpnv4 all peer 


BGP local router ID ; 2.2.2.2 
Local AS number : 2345 


Total number of peers ; 2 `，Peers in established state : 1 
Peer V AS MsgRevd MsgSent OutQ Up/Down State PrefRey 
合生 二 全 二 234S 4 6 8. 00:00:17 Established 0 


Peer of IPv4-family for vpn instance : 


VPN-Instance A, Router ID 172.16.0.1: 

2 4 64538 Vv rt 0 00:02:49 Established 1 

从 以 上 输出 可 以 看 出 ，PE1 与 PE2 的 BGP 对 等 体 关 系 已 经 正确 建立 。 

a 在 PE 设备 上 根据 实际 情况 配置 路 由 引入 ， 实 现 IPv4 客户 路 由 与 VPNv4 路 由 

re 点 1 而 言 ， 由 于 PE1 与 CE1 建立 了 BGP 对 等 体 关系 ， 因 此 PE1 可 通过 BGP 
获知 到 达 该 站 点 的 客户 路 由 ， 并 且 无 需 部 署 路 由 引入 ，PE1 可 直接 将 通过 BGP 学 习 到 的 
IPv4 路 由 转换 成 YPNv4 路 由 ， 并 将 路 由 通告 给 PE2。 

现在 可 以 在 PE1 上 查看 客户 路 由 ， 使 用 display bgp vpnv4 vpn-instance A routing-table 
命令 ， 可 以 在 PE1 上 查看 VRF A 的 BGP 路 由 表 : 


<PE1>display bgp vpnv4 vpn-instance A routing-table 


BGP Local router ID is 2.2.2.2 

Status codes: * - valid, > - best, d - damped, 
h - bistory，1 - internal, s - suppressed,S - Stale 
Origin : i- IGP, e - EGP, ? - incomplete 


VPN-Instance A, Router ID 172.16.0.1: 


Total Number of Routes: 1 
Network NextHop MED LocPrf PrefVal Path/Ogn 


*> 172.16.1.0/24 172.16.0.2 0 | 64538i 
客户 路 由 172.16.1.0/24 出 现在 了 PE1 的 BGP 路 由 胡 直 ， 接 下 来 PE1 会 自动 地 将 这 
条 IPv4 路 由 转换 成 YPNv4 路 由 。 


使 用 display bgp vpnv4 all routing-table 命令 ， 可 以 查看 设备 所 有 的 VPNv4 路 由 信息 : 
[PE1-bgp]display bgp vpnv4 all routing-table 


BGP Local router ID is 2.2.2.2 
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Status codes: * - Valid, > - best, d - damped, 
h-history, 1i-internal, s - suppressed, S - Stale 
Origin : 1- IGP, ¢ - EGP, ? - incomplete 


Total number of routes from all PE: 1 
Route Distinguisher: 64538:100 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*> 172.16.1.0/24 172.16.0.2 0 0 64538i 
VPN-Instance A, Router ID 172.16.0.1: 


Total Number of Routes: 1 
Network NextHop MED LocPrf PrefVal Path/Ogn 


人 T72.16.0.2 0 645381 

由 于 PE2 还 未 执行 路 由 引入 操作 , 因此 此 时 PE1 条 时 无 法 学 习 到 去 往 站 点 2 的 窗户 
路 由 172.16.2.0/24。 

接 下 来 ， 在 PE2 进行 如 下 配置 : 

[PE2]bgp 2345 


[PE2-bgplipv4-family vpn-instance A 
[PE2-bgp-Alimport-route ospf 1 # 将 VRF A 路 由 表 中 的 OSPF 路 由 引入 BGP 


[PE2]ospf 1 
[PE2-0spf-1]import-route bgp 


完成 上 述 配 置 后 ， 在 PE2 上 查看 VPNv4 路 由 信息 : 


<PE2>display bgp vpnv4 all routing-table 


BGP Local router ID is $.5.5.5 
Status codes: * - valid, > - best, d - damped, 
h - history，i - internal, s - suppressed, S - Stale 
Origin :i- IJGP e - EGP, ? - incomplete " 


Total number of routes oth all PE: 3 
Route Distinguisher: 64538:100 


Network NextHop : MED LocPrf PrefVal Path/Ogn 
we 172.16,1.0/24 22.2,.2 0 100 0 64538i 


Route Distinguisher: 64539:200 


Network NextHop MED LocPrf PrefVal Path/Ogn 
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从 以 上 输出 可 以 看 到 ，PE2 已 经 通过 MP-BGP 学 习 到 了 VPNv4 路 由 64538:100: 
172.16.1.0/24, 并 且 也 将 该 路 由 转换 成 了 IPv4 路 由 。 接 下 来 PE2 将 BGP 路 由 172.16.1.0/24 


引入 OSPF， 并 通过 OSPF 通告 给 CE2: 


ee 全 可 看 到 如 下 办 上 
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172.16.1.0/24 所 分 配 的 标签 ， 
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*>1 172.16.0.4/30 
of 172.16.2.0/24 


他人 0 100 0 ? 
人 100 0 ? 


人 


VPN-Instance A, Router ID 172.16.0.1: 


Total Number of Routes: 3 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*>1 172.16.0.4/30 $3,595 0 100 0 ? 
本 之 172.16.1.0/24 172.16.0.2 0 0 i 
*>i 172.16.2.0/24 与 .人 .与 ,与 上 100 0 
PE1 已 经 学 习 到 了 VPNv4 路 由 64539:200:172.16.2.0/24， 它 将 该 路 由 转换 为 IPv4 路 
由 172.16.2.0/24 并 加 载 到 VRF A 的 路 由 表 中 ， 同 时 通过 BGP 通告 给 CE1。 


如 果 想 要 查看 MP-BGP 为 客户 路 由 分 配 的 标签 ， 站 例如 查看 PE1 为 


可 在 PE1 执行 display mpls lsp 命 
[PE1]jdisplay mpls lsp 


FEC In/Out Label In/Out IF Vrf Name 
172.16.1.0/24 1027/NULL -/- A 
LSP Information: LDP LSP 
FEC In/Out Label In/Out IF Vrf Name 
3.3.3;3/32 NULL/3 -/GE0/0/0 
3.3.3.3/32 1024/3 -/GEQ/0/0 
2.2.2.2/32 3/NULL -/- 
4.4.4.4/32 NULL/1025 -/GE0/0/0 
4.4.4.4/32 1025/1025 -/GE0Q/0/0 
S55 NULL/1026 -/GEO0/0/0 
$5.5,5,5132 1026/1026 -/GE0/0/0 


或 者 使 用 display bgp vpnv4 all routing-table 172.16.1.0 命令 : 
<PE1>display bgp vpnv4 all routing-table 172.16.1.0 


BGP local router ID : 2.2.2.2 
Local AS number ; 2345 


Total routes of Route Distinguisher(64538:100): 1 

BGP routing table entry information of 172.16.1.0/24: 

Label information (Received/Applied): NULL/1027 

From: 172.16.0.2 (172.16.0.2) 

Route Duration: 00h12m528 

Direct Out-interface: GigabitEthernet0/0/1 

Original nexthop: 172.16.0.2 

Qos information : 0x0 

Ext-Community:RT <64538 : 1> 

AS-path 64538, origin igp, MED 0, pref-yal 0, valid. ‘external, best, select, pr 
© 235 

Advertised to such 1 peers: 

汪汪 二 
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VPN:Instance A, Router ID 172,16.0.1: 


i 1 

BGP routing table entry information of 172.16.1.0/24: 

From: 172.16.0.2 (172.16.0.2) 

Route Duration: 00h12m52s 

Direct Out-interface: GigabitEthernet0/0/1 

te 172.16.0.2 

nformation ; 0x0 

Re a igp, MED 0, pref-val 0, valid, external, best, select, ac 
~ tive, pre 255 

Not advertised to any peer yet 

现在 客户 A 站 点 1 的 172.16.1.0/24 网 段 已 经 能 够 与 站 点 2 的 172.16.2.0/24 网 段 相 互 


通信 了 。 


13.7 VRF Lite 


VRF 是 MPLS VPN 中 非常 重要 的 一 项 技术 ， 基 于 VRF， 一 台 PE 可 以 实现 多 转发 实 
例 , 并 且 同 时 为 多 个 不 同 的 客户 提供 服务 。 在 现实 的 网 络 中 , VRF 技术 不 仅 能 够 在 MPLS 
VPN 场景 下 的 PE 设备 上 应 用 ， 也 可 以 脱离 MPLS VPN 单独 部 署 ， 例 如 ， 在 一 台 普 通 网 
络 设备 上 部 署 VRF， 使 得 该 设备 能 够 虚拟 出 多 个 转发 实例 ， 从 而 为 多 个 不 同 的 客户 或 多 
个 不 同 的 业务 服务 ， 这 种 实现 方式 被 称 为 VRF Lite。 

图 13-75 展示 了 一 个 简单 的 企业 网 络 ， 在 该 网 络 中 ，VLAN100 及 VLAN200 分 别 用 
于 生产 及 办 公 PC。 CoreSwitch 为 网 络 中 的 核心 交换 机 , 它 是 办 公 及 生产 PC 的 网 关 设 备 ， 
用 户 在 CoreSwitch 上 创建 了 VLANIF100 及 VLANIF200, 并 为 这 两 个 三 层 接口 配置 了 IP 
地 址 ， 办 公 及 生产 PC 将 各 目的 默认 网 关 地 址 设置 为 相应 VLAN 的 VLANIF。 男 外 ， 
CoreSwitch 还 上 联 路 由 咒 R1 及 R2， 它 能 够 通过 这 两 台 路 由 右 到 达 生 产 及 办 公 网 络 。 


生产 办 公 
网 络 网 络 






VLANIF100 192.168.100.254/24 


Me VLANIF200 192.168.200.254/24 


~ ee ein, re ee Soe ee ep 


SWI SW2 


| 生产 PC (VLAN100) | | 办 公 PC (VLAN200) 
: 192.168.100.0/24 |! 192.168.200.0/24 
i 默认 网 关 192.168.100.254 ; | 默认 网 关 192.168.200.254 ; 


短 和 和 


图 13-75 办 公 及 生产 PC 的 默认 网 关 设 备 均 为 CoreSwitch， 初 始 时 两 者 可 通过 CoreSwitch 实现 互通 
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用 户 的 需求 是 : 生产 PC 需要 与 R1 所 连接 的 生产 网 络 进行 通信 ， 而 办 公 PC 则 需要 
与 R2 所 连接 的 办 公 网 络 进行 通信 , 而 生产 业务 的 设备 (生产 PC 以 及 生产 网 络 中 的 设备 ) 
与 办 公 业 务 的 设备 (办 公 PC 以 及 办 公 网 络 中 的 设备 ) 之 间 需 要 完全 隔离 。 

图 13-76 展示 了 CoreSwitch 的 内 部 逻辑 ( 注 : VLANIF101 及 VLANIF201 分 别 用 于 
跟 Rl 及 R2 对 接 )。CoreSwitch 的 所 有 VLANIF 的 直 连 路 由 均 已 自动 写 入 了 设备 的 路 由 
表 。 并 且 ， 如 果 CoreSwitch 配置 了 到 达 生 产 网 络 1.1.1.0/24 网 段 及 办 公 网 络 2.2.2.0/24 网 
段 的 静态 路 由 ， 那 么 这 些 路 由 将 皆 存 于 CoreSwitch 的 路 由 表 中 ， 此 时 办 公 PC 是 可 以 直 
接 访问 生产 PC 的 。 而 且 办 公 网 络 中 的 设备 ， 在 R1、R2 采用 适当 配置 的 情况 下 ， 也 完 
全 有 可 能 通过 CoreSwitch 访问 生产 PC。 这 显然 是 极为 不 安全 的 ， 毕 葛 用 户 的 期 望 是 将 
生产 及 办 公设 备 完全 隔离 。 


生产 网 络 办 公 网 络 


CoreSwitch 的 路 由 表 


Destination Vink [Proto | mierince | Nertliop 











192.168.101.2 


CoreSwitch 


EE 


;Vlanifl0l i; Vianif201  : 
: 192.168.101.1 ;i 192.168.2011 : 


[TTT TIT TT 


192.168.201.0/24 Vlanif201 | 192 .168 .201 1 
1.1.1.0/24 Vlanifl01 | 192.168.101.2 
2.2.2.0/24 Vlanif201 | 192.168.201.2 






EE EE EE EE 


: Vlanifl00 gE Vlanif200 : 
: 192.168.100.254 :; : 192.168.200.254 : 


TTT TT 











生产 PC1 192.168.100.1 办 公 PC1 192.168.200.1 
默认 网 关 192.168.100.254 默认 网 关 192.168.200.254 


图 13-76 ”CoreSwitch 的 内 部 逻辑 及 路 由 表 


要 实现 本 案例 中 客户 的 需求 ,其 实 方法 有 不 少 ,例如 可 以 在 CoreSwitch 上 部 署 ACL， 
或 者 将 CoreSwitch 蔡 换 成 防火 墙 等 等 。 实 际 上 ， 还 有 男 一 种 可 扩展 性 更 高 、 更 加 经 济 的 
方法 ， 那 便 是 VRF， 我 们 完全 可 以 在 CoreSwitch 上 创建 一 个 VRF， 将 生产 或 办 公 业 务 
中 的 一 个 放置 在 CoreSwitch 的 根 实例 中 ， 而 另 一 个 则 放置 在 VRF 中 ， 这 样 便 可 以 将 两 
种 业务 完全 隅 离 ， 而 且 即 使 后 续 生产 或 办 公 业 务 增加 新 的 VLAN 及 IP 地 址 段 ， 涉 及 的 
配置 变更 也 是 非常 简单 的 。 

图 13-77 展示 了 在 CoreSwitch 上 部 署 了 VRF 之 后 其 内 部 逻辑 ， 以 及 其 全 局 路 由 表 、 
VRF 路 由 表 。 我 们 将 办 公 业 务 部 署 在 了 VRF BanGong 中 ， 也 即 保持 VLANIF100 及 
VLANIF101 在 设备 的 根 实例 中 ,而 将 VLANIF200 及 VLANIF201 分 配给 VRF BanGong， 
如 此 一 来 ， 生 产 及 办 公 业 务 将 彻底 隔离 。 

CoreSwitch 的 配置 如 下 : 

[CoreSwitchjip vpn-instance BanGong 


[CoreSwitch-vpn-instance-BanGong]jroute-distinguisher 10:1 
[CoreSwitch-vpn-instance-BanGong-af-ipv4]quit 
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[CoreSwitch-vpn-instance-BanGonglquit 


[CoreSwitchlinterface Vlanif 100 

[CoreSwitch-Vlanifl00jip address 192.168.100.254 24 
[CoreSwitch-Vlanif100]quit 

[CoreSwitchlinterface Vlanif 101 

[CoreSwitch-VIanif101]ip address 192.168.101.1 24 
[CoreSwitch-Vlanif101]quit 

[CoreSwitch]interface Vlanif 200 

[CoreSwitch-Vlanif200]ip binding vpn-instance BanGong 
[CoreSwitch-Vlanif200]ip address 192.168.200.254 24 
[CoreSwitch-Vlanif200]quit 

[CoreSwitch]interface Vlanif 201 

[CoreSwitch-Vlanif201]Jip binding vpn-instance BanGong 
[CoreSwitch-Vlanif201]ip address 192.168.201.1 24 
[CoreSwitch-Vlanif201]quit 
[CoreSwitch]ip route-static 1.1.1.0 24 192.168.101.2 eB 
[CoreSwitchjip route-static vpn-instance BanGong 2.2.2.0 24 192.168.201.2 


生产 网 络 办 公 网 络 


CoreSwitch 的 全 局 路 由 表 
〈 根 设备 路 由 表 ) 


enna | Prorw | meeriee [Neviiop 


Vianiflol i Vanip0l CoreSwitch 的 VRF BanGong 路 由 表 


92.168.101.1 


















:Vlanifl00 
: 192.168.100.254 : 





生产 PC1192.168.100.1 办 公 PC1 192.168.200.1 
默认 网 关 192.168.100.254 默认 网 关 192 168.200.254 


图 13-77 在 CoreSwitch 上 部 署 VRF 后 


需 注 意 的 是 ， 即 使 脱离 了 MPLS VPN 单独 部 署 VRF， 但 是 在 创建 VRF 时 ， 依 然 需 
要 指定 其 RD 值 (RT 值 为 可 选 )， 否 则 该 VRF 将 无 法 正常 工作 ， 虽 然 RD 值 在 这 个 场景 
中 并 无 实际 意义 。 

此 外 ， 如 果 客 户 要 求 CoreSwitch 与 R1 及 R2 之 间 通 过 动态 路 由 协议 交互 路 由 ， 例 
如 ，CoreSwitch 使 用 OSPF 分 别 与 R1 及 R2 交互 路 由 ,那么 可 以 在 CoreSwitch 上 创建 两 
个 OSPF 进程 ， 然 后 将 其 中 一 个 OSPF 进程 与 VRF BanGong 进行 绑 定 ， 该 进程 用 于 和 
R2 对 接 ， 而 男 一 个 OSPF 进程 则 关联 到 设备 的 根 实例 ， 用 于 和 R1 对 接 。 如 此 一 来 ， 
CoreSwitch 通过 与 R1 对 接 的 OSPF 进程 所 学 习 到 的 生产 网 络 路 由 将 会 被 加 载 到 设备 的 
全 局 路 由 表 中 ， 而 它 通过 与 R2 对 接 的 VRF OSPF 进程 所 学 习 到 的 办 公 网 络 路 由 ， 则 会 
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被 加 载 到 设备 的 VRF BanGong 的 路 由 表 中 ， 两 种 路 由 实现 了 隔离 。 


13.8 


:站 


习题 


( 单 选 ) 以 下 关于 MPLS 标签 头 部 ， 错 误 的 是 (  ) 

A. 一 个 标签 报 文 可 以 包含 一 个 MPLS 标签 头 部 ,也 可 以 包含 多 个 MPLS 标签 头 
部 。 

B. 在 MPLS 标签 头 部 中 ，BoS 是 栈 底 位 ， 当 该 字段 的 值 为 0 时 ， 则 表示 本 标签 
头 部 为 标签 栈 的 栈 底 。 

C. 在 MPLS 的 标签 范围 中 ，3 是 一 个 有 独特 殊 意 义 的 标签 值 ， 它 被 称 为 隐 式 衬 
标签 ， 一 般 应 用 于 PHP 机 人 制 。 

D. 在 标签 报 文 中 ，MPLS 标签 栈 位 于 数据 的 二 层 头 部 之 后 、IP 头 部 之 前 。 


. (多 选 ) 在 典型 的 MPLS VPN 架构 中 ， 标 签 报 文通 常 包 含 两 层 ， 其 中 (  ) 


A. 内 层 标 签 由 MP-BGP 分 发 ， 外 层 标 签 由 LDP 分发。 

B. 内 层 标签 由 LDP 分 发 ， 外 层 标 签 由 MP-BGP 分 发 。 

C. 外 层 标 签 也 被 称 为 公 网 标签 ， 被 用 于 将 报 文 沿 看 LSP 转发 到 远亲 PE 设备 。 

D. 内 层 标 签 也 被 称 为 私 网 标签 , 被 用 于 将 报 文 在 远 端 PE 设备 对 应 到 具体 的 CE 
设备 。 


. (多 选 ) 以 下 关于 VPNv4 地 址 的 描述 正确 的 是 (  ) 


A. VPNv4 地 址 一 共 96bit。 

B. VPNv4 地 址 由 两 部 分 组 成 : 64bit 的 RD 值 ， 及 32bit 的 IPv4 地 址 。 

C. RD 用 于 在 MPLS VPN 网 络 中 解决 客户 IPv4 地 址 空间 的 神 突 问题 。 

D. 传统 BGP 无 法 承载 VPNv4 路 由 ，MP-BGP 实现 了 对 VPNv4 路 由 的 支持 。 


. (多 选 ) 以 下 关于 RD 及 RT 的 描述 ， 正 确 的 是 (  ) 


A. RD 被 用 于 附加 在 IPv4 路 由 前 级 之 前 ， 构 成 全 局 唯一 的 VPNv4 路 由 前 级 ， 
从 而 解决 IPv4 地 址 空间 冲突 的 问题 。 

B. RD 值 并 不 用 于 标识 该 路 由 的 起 源 也 不 用 于 决定 将 该 路 由 注入 哪 一 个 目标 
VRF 路 由 表 。 

C. 一 台 PE 从 远 端 PE 接收 多 条 VPNv4 路 由 后 , 可 以 根据 这 些 路 由 所 携带 的 RD 
值 来 决定 将 哪些 路 由 注入 哪 一 个 VRF。 

D. 一 个 VPNv4 前 级 只 能 包含 一 个 RD 值 ， 并 且 只 能 携带 一 个 RT 值 。 
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14.1 第 1 章 


， 

2， 太 CD 

3. 可 能 的 原因 有 : 

1) 路 由 器 通过 其 他 途径 (例如 通过 某 种 动态 路 由 协议 ) 也 获取 到 了 相同 目的 网 络 
地 址 及 掩 码 的 路 由 ， 而 且 该 路 由 的 优先 级 更 高 。 

2) 该 路 由 所 关联 的 出 接口 的 物理 状态 或 协议 状态 为 down。 

3) 该 路 由 所 关联 的 下 一 跳 IP 地 址 无 法 在 本 地 路 由 表 递 归 得 到 出 接口 。 

4. 根据 最 长 匹配 原则 ，10.9.9.0/24 路 由 与 目的 卫 地 址 10.9.9.33 的 匹配 度 是 最 高 的 ， 
因此 该 路 由 器 会 将 报 文 转发 给 下 一 跳 10.1.12.1。 

5. R1 会 将 发 往 192.168.1.31 的 数据 包 转 发 给 下 一 跳 192.168.12.2， 因 为 这 些 数据 包 
的 目的 耳 地 址 与 静态 路 由 ip route-static 192.168.1.0 27 192.168.12.2 的 匹配 长 度 最 长 ( 相 
比 于 黑洞 路 由 ip route-static 192.168.1.0 24 Null0 ) 。 


14.2 第 2 章 


1. BC。 

2. AD。 

3. R2 的 路 由 表 中 将 存在 4 条 RIP 路 由 ， 它 们 分 别 是 172.16.0.4/30、172.16.1.0/24、 
172.16.2.0/24 以 及 172.16.3.0/24。 

4. R4 的 路 由 表 中 将 存在 2 条 RIP 路 由 ， 它 们 分 别 是 10.0.0.0/21 及 10.0.8.0/30。 其 
中 10.0.0.0/21 是 R3 所 产生 的 汇总 路 由 ， 由 于 该 汇总 路 由 没 能 “ 守 括 ”10.0.8.0/30， 因 此 
该 条 子 网 路 由 被 R3 通告 给 了 R4。 

5. R1 无 法 通过 RIP 学 习 到 192.168.23.0/24 路 由 ，R3 也 无 法 通过 RIP 学 习 到 
192.168.12.0/24 路 由 。 因 为 R2 部 区 了 RIP 多 进程 , 它 在 RIP 进程 1 中 通告 192.168.12.0/24 
网 段 ， 到 达 该 网 段 的 路 由 缺 省 不 会 被 自动 注入 RIP 进程 2， 因 此 R3 无 法 通过 RIP 学 习 
到 该 路 由 ; 同 理 ，R2 在 RIP 进程 2 中 通告 192.168.23.0/24 网 段 ， 因 此 R1 无 法 通过 RIP 
学 习 到 该 路 由 。 
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4， 当 一 个 OSPF 网 络 中 只 存在 一 个 区 域 时 ， 该 区 域 可 以 不 是 Area0， 因 为 网 络 中 不 
涉及 区 域 间 路 由 的 交互 。 区 域内 的 路 由 器 完全 可 以 借助 Type-1、Type-2 LSA 计算 区 域内 
的 路 由 。 当 然 ， 这 种 网 络 规划 依然 不 被 建议 ， 使 用 Area0 才 是 最 合理 的 方案 。 

5. 网 络 的 拓扑 结果 如 图 14-1 所 示 。 


Router-ID 10.2SS.1.2 


Ll 10.1.1:6 





Router-ID 10.2SS.1.1 Router-ID 10.255.1.3 


10.8.8.253 10.8.8.252 


10.8.8.0/24 


图 14-1 网 络 拓扑 图 
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14.5 第 5 章 
1 路。 


2. 解决 方案 其 实 很 简单 ， 可 以 在 R2 上 创建 一 个 NQA 实例 ， 用 于 探测 R1 的 可 达 
性 ， 并 将 该 NQA 实例 与 到 达 192.168.1.0/24 的 静态 路 由 进行 关联 即 可 。 当 NQA 实例 检 
测 到 R1 失效 时 ,与 之 关联 的 静态 路 由 就 会 失效 ， 也 就 是 从 路 由 表 中 消失 ， 此 时 R2 将 不 
再 把 该 静态 路 由 引入 OSPF，R3 也 就 不 会 再 通过 OSPF 学 习 到 192.168.1.0/24 路 由 。 

R2 的 配置 如 下 : 

[R2]nqa test-instance admin test] 

[R2-nqa-admin-test1 Jtest-type icmp 

[R2-nqa-admin-testl]destination-address ipv4 192.168.12.1 

[R2-nqa-admin-testl |frequency 6 

[R2-nqa-admin-test1]probe-count 2 

[R2-nqa-admin-testl]interval seconds 2 
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[R2-nqa-admin-test] jtimeout 2 
[R2-nqa-admin-test] ]start now 
[R2-nqa-admin-testl]quit 
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[R2]ip route-static 192.168.1.0 24 192.168.12.1 track nqa admin testl 


[R2]ospf 1 


[R2-0spf-1 Jimport-route static 
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B。 

2. 在 R2 的 配置 中 ，ACL2000 只 将 192.168.1.0/24 及 192.168.2.0/24 路 由 匹配 住 了 ， 
而 且 Route-Policy hcnp 只 定义 了 一 个 节点 《匹配 模式 为 Permit)， 并 在 该 节点 中 调用 了 
ACL2000， 由 于 Route-Policy 在 末尾 隐 含 着 一个 拒绝 所 有 的 节点 ， 因 此 没有 被 该 
Route-Policy 允许 的 192.168.3.0/24 及 192.168.4.0/24 路 由 将 不 会 被 引入 OSPF， 也 就 不 会 
出 现在 R3 的 路 由 表 中 了 。 

3. 在 R2 的 配置 中 , ACL2000 只 将 192.168.1.0/24 路 由 匹配 住 , 在 Route-Policy hcnp 
的 节点 10 中 ， 调 用 了 ACL2000， 并 且 由 于 该 节点 的 匹配 模式 为 Deny， 因 此 路 由 
192.168.1.0/24 将 被 视 为 不 被 该 Route-Policy 允许 。 此 外 Route-Policy hcnp 还 存在 节点 20， 
该 节点 中 没有 任何 这 match 命令 , 因此 视 为 匹配 所 有 ， 另 外 该 节点 的 匹配 模式 为 Permit， 
所 以 除了 路 由 192.168.1.0/24 之 外 的 其 他 三 条 路 由 将 被 允许 ， 它 们 将 被 R2 引入 OSPF， 


最 终 R3 的 路 由 表 中 只 有 这 三 条 外 部 路 由 。 
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5。PC1 可 以 与 PC2 正常 通信 。 
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B。 
SW1 的 桥 ID 最 小 ， 因 此 它 是 根 桥 ; Port3、Port4 及 Port7 是 根 接口 ; Portl、Port2、 
Ports 及 Port6 是 指定 接口 ; Port8 将 被 阻塞 。 


和 2, 
3 
4. 
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3. 在 VRRP 中 , 0 及 255 是 两 个 特殊 的 优先 级 ， 不 能 被 直接 配置 。 当 设备 的 接口 了 
地 址 与 VRRP 虚拟 IP 地 址 相同 时 ， 它 的 优先 级 将 目 动 变 成 最 大 值 2355$。 当 Master 设备 
主动 放弃 Master 角色 时 ， 例 如 当 接 口 的 VRRP 配置 被 手工 删除 掉 时 ， 该 Master 设备 会 
立即 发 送 一 个 优先 级 为 0 的 VRRP 报 文 ， 用 来 通知 网 络 中 的 Backup 设备 。 
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